Come è stato utilizzato il mio account e-mail Yahoo per inviare spam

13

Il mio account di posta elettronica di yahoo inviava spam alle 6:42 pm EDT (gli spams mostrano 3:42 pm PDT) ieri. L'ho capito ricevendo diverse e-mail di "Avviso di mancata" per Yahoo non era in grado di consegnare i messaggi spam ad alcuni degli indirizzi previsti.

Per quanto mi piacerebbe sapere come impedire che ciò accada, vorrei sapere in che modo le email di spam sono state possibilmente inviate dal mio account di posta elettronica? È possibile che qualcun altro ha avuto accesso al mio account per usarlo per inviare spam?

  1. Supponiamo che non abbiano effettivamente effettuato il login e non abbiano inviato email dal mio account,

    • Mi chiedo come sono stati memorizzati anche gli spam nella mia cartella "Inviati"?

    • Ho anche controllato " Attività di accesso recenti " del mio account yahoo, ma tutte le posizioni registrate e gli indirizzi IP dalle 16:47 del giorno precedente ieri fino a tardi ieri sera sono i miei. Mi chiedo come sia possibile che qualcun altro abbia effettuato l'accesso al mio account per usarlo per inviare spam?

  2. Supponiamo che abbiano effettivamente effettuato l'accesso e inviano spam dal mio account.

    Mi chiedo come potrebbero gestirlo, dato che avevo fatto i seguenti passi prima che accadesse lo spamming?

    • La mia password originale ( p+N4th@y8yUcer4pr6HeyE2ewa2Ebu!e ) era veramente lunga, 32 caratteri con maiuscole e minuscole lettere minuscole, numeri e altri tipi di caratteri, generati da qualche generatore di password casuale online. Inoltre non ho condiviso la mia password con nessun altro sito web o persona. È una tale password possibile indovinare?

    • Il mio sistema operativo è già stato Ubuntu 12.04.

      Il mio browser è stato Firefox 13.0. Sono presenti alcune Estensioni di Firefox (Brief, DownloadHelper, DownThemAll !, FlashGot, integrazione barra menu globale, Google Translator, Greasemonkey, Mason, Gestione sessione, modifiche di Ubuntu Firefox), Plugin (Adobe Reader, DivX Web Player, Google Talk Plugin, Google Talk Plugin Video Accelerator, iTunes Application Detector, QuickTime Plug-in, Shockwave Flash, VLC Multimedia login, Windows Media Player plug-in) e script utente (Google Book Downloader, Ricerca Google: rimozione del reindirizzamento, Scrub Google Redirect Links).

      Ho usato anche ClamTK per analizzare la mia partizione home per virus e non ne ho trovato nessuno.

    • A volte ho aperto email di spam, ma non ho mai fatto clic su collegamenti nascosti o non nascosti.

    • Aggiunto: eseguo semplicemente rkhunter sulla mia Ubuntu. Le uscite di ./rkhunter -C sono qui e l'output di ./rkhunter -c è qui . Hanno un bell'aspetto, vero?

    • Aggiunto : ho incollato anche ciascuna delle seguenti due intestazioni nei geobyte spam locator , e ha scoperto che le fonti delle e-mail spam provengono entrambe dallo stesso IP 187.41.82.250 in un altro paese (Brasile) dal mio (USA). Significa che gli spam non sono stati effettivamente inviati dal mio account di posta elettronica?

Intestazione di uno spam salvato nella mia cartella "Inviato"

From Tim Thu Jun 14 15:42:07 2012
X-YMail-OSG: ivy79oIVM1k8kPIPgi4nfJh2JPdWcnzc7If0UmOfBQtmnkB
 nEmfLnPHJ
Received: from [187.41.82.250] by web162602.mail.bf1.yahoo.com via HTTP; Thu, 14 Jun 2012 15:42:07 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <1339713727.16968.BPMail_high_noncarrier@web162602.mail.bf1.yahoo.com>
Date: Thu, 14 Jun 2012 15:42:07 -0700 (PDT)
From: Tim <[email protected]>
Subject: HI
To: [email protected]
Bcc: [email protected], [email protected], 
    [email protected], 
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Length: 71

Notifica di Yahoo di mancata consegna dello spam ad alcuni indirizzi previsti

Sorry, we were unable to deliver your message to the following address.

<[email protected]>:
Remote host said: 550 5.1.1 <[email protected]> User unknown; rejecting [RCPT_TO]

--- Below this line is a copy of the message.

Received: from [98.139.212.148] by nm21.bullet.mail.bf1.yahoo.com with NNFMP; 14 Jun 2012 22:42:08 -0000
Received: from [98.139.212.214] by tm5.bullet.mail.bf1.yahoo.com with NNFMP; 14 Jun 2012 22:42:08 -0000
Received: from [127.0.0.1] by omp1023.mail.bf1.yahoo.com with NNFMP; 14 Jun 2012 22:42:08 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: [email protected]
Received: (qmail 91992 invoked by uid 60001); 14 Jun 2012 22:42:08 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1339713728; bh=3k5IzdOBwo7Jx0VjjcU11ALbzymfvrJ2SheLqHngG7s=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:MIME-Version:Content-Type; b=mk5ksTksAaA1u+2GJaaQoJaClM5AQeOmUn4A9e3xYyJVpER/mKvPB6e5NJlZ2WG1zhOvnrMUHGgqwxMMa7lf3K9tHzGxhbLddTxfM0udgCC2Ws4d7ebgACo2lT/92A9qGxxPIXQCSAEiK8/C7P5rQ6ZAOGOv5xMHuSMY3lUzs9Y=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
  s=s1024; d=yahoo.com;
  h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:MIME-Version:Content-Type;
  b=enSetbkOfQmTtzS221NeSMw+dVAbV6y4iFhhSye/tdOobEqExxBebaFrFsehnXbU10/kB00lr3EVDJFCcYoJT5Sp9a7bz1r9L3CezVCrqeolUUNSN4R9qjreJCxk3YxcTnm9f//PvAIPDsqadFmZyDXcT5FyUEfiwb0cyERbL90=;
X-YMail-OSG: ivy79oIVM1k8kPIPgi4nfJh2JPdWcnzc7If0UmOfBQtmnkB
nEmfLnPHJ
Received: from [187.41.82.250] by web162602.mail.bf1.yahoo.com via HTTP; Thu, 14 Jun 2012 15:42:07 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <1339713727.16968.BPMail_high_noncarrier@web162602.mail.bf1.yahoo.com>
Date: Thu, 14 Jun 2012 15:42:07 -0700 (PDT)
From: Tim <[email protected]>
Subject: HI
To: [email protected]
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
    
posta Tim 15.06.2012 - 18:39
fonte

2 risposte

5

Ci sono molti modi in cui qualcuno può accedere al tuo account, ma nella tua istanza direi che sembra che tu abbia o un keylogger o una macchina, un rootkit sulla tua macchina o un computer sporco su la tua rete che sta sniffando il traffico (potenzialmente eliminando il protocollo SSL).

La ragione per cui dico questo è perché la tua password è così lunga e complessa che è altamente improbabile che sia stata indovinata da qualcuno e ancor meno probabile che sia stata brutale. Il fatto che l'ultimo IP di accesso sull'account fosse il tuo indica anche che l'account è stato collegato alla tua rete sarebbe un ulteriore sospetto su un kit di root o una backdoor maliziosa.

Prova a eseguire rkhunter sul tuo computer e vedere se appare qualcosa. A parte questo, controllerò anche gli altri computer della tua rete. Nel frattempo però, cambia la tua password sul tuo account Yahoo per prevenire ulteriori spam.

    
risposta data 15.06.2012 - 20:02
fonte
4

Guardando le e-mail, la linea

X-Mailer: YahooMailWebService/0.8.118.349524

sporge come possibilmente importante. Sembra che non abbiano usato un normale login in webmail ma stiano usando API del servizio web di posta di Yahoo per accedere al tuo account ( questo è che hai dato a un'applicazione di terze parti un token OAuth per accedere al tuo account). Hai concesso a qualsiasi applicazione (ad es. App iOS / Android su un dispositivo mobile) o a un sito Web qualsiasi tipo di accesso al tuo account di posta elettronica?

Non uso regolarmente yahoo mail (ho un account solo per gli sport di fantasia) e vorrei controllare che non si veda mai quella linea nelle e-mail normalmente inviate (ad esempio, quando si usa la webmail). Controllerei le impostazioni del tuo account (Gestisci app e connessioni al sito web - penso sia l'impostazione corretta) e verifico che non hai concesso ad alcun sito Web / applicazioni l'accesso di terzi al tuo account (inclusa la possibilità di inviare posta). (Apparentemente si tratta di normali intestazioni per l'invio di webmail da Yahoo.)

Verifica di non aver installato estensioni del browser dannose sul tuo browser web (il tipo che ha accesso a tutte le tue informazioni e in grado di sottrarre informazioni di accesso).

A causa dell'elevato numero di script / plug-in / estensioni utente di firefox che stai utilizzando, uno di questi potrebbe facilmente rubare la tua password. In sostanza, un'estensione browser / script utente che si installa può fare qualsiasi cosa su qualsiasi pagina web se l'estensione ha il permesso di caricare su quella pagina. Leggi i cookie di sessione, controlla il testo digitato nei campi della password e invia anche informazioni ai server controllati dagli hacker, ecc. Trova la tua estensione ( ~/.mozilla/firefox/[random chars].default/extensions/ ) e la directory degli script utente e prova a guardare attraverso il codice sorgente per comportamenti sospetti da minori fonti conosciute. * .xpi sono solo file zip; aprirli (e qualsiasi jar incluso, anche solo un file zip) e sfogliare la fonte. Cerca elementi come password / passwd / yahoo nell'applicazione che non dovrebbe avere nulla a che fare con l'accesso alle applicazioni.

    
risposta data 15.06.2012 - 23:01
fonte

Leggi altre domande sui tag