From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 20 Sep 2006 03:59:17 +0400 From: "Fr. Br. George" To: shigorin@gmail.com, ALT Linux sysadmin discuss Message-ID: <20060919235917.GJ80092@grep.po.cs.msu.su> References: <450E50ED.2010302@soc.adm.yar.ru> <20060918110212.GI72289@grep.po.cs.msu.su> <20060918114044.GE9099@osdn.org.ua> <20060918124058.GT72289@grep.po.cs.msu.su> <20060918172346.GT16644@osdn.org.ua> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20060918172346.GT16644@osdn.org.ua> User-Agent: Mutt/1.4.2.2i X-Original-Status: RO Subject: Re: [Sysadmins] =?koi8-r?b?z9TTxcnXwc7JxSDT0MHNwQ==?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 19 Sep 2006 23:59:19 -0000 Archived-At: List-Archive: On Mon, Sep 18, 2006 at 08:23:46PM +0300, Michael Shigorin wrote: > И как ты отличаешь "зараженные троянами IP", интересно? > (по бэкрезолвингу максимум вида ip-uncle-joe-1.dsl.verizon.net?) Примерно так. Плюс по отсутствию оного. Плюс по dynamic pool в whois. И т. п. Если некая машинка, для рассылки почты не предназначенная, с каким-нибудь занюханным виндовзом, вдруг начинает поливать спамом, ответ очевиден. Спор-то был о том, часто ли с релея провайдера шлют. Нечасто. Но точные цифры, разумеется, сказать невозможно. Оговорюсь: под "заражением троянами" я разумею "инсталляцию спам-бота", но это как раз одно и то же. > > > > Последний год, судя по тому, что слышу от провайдеров и > > > диагоналю в обзорах -- через релеи ISP примерно 60%. > > Статистика у провайдеров меня действительно меньше волнует, > > чем статистика на моих серверах. > > "У меня" проверка бэкрезолвинга в качестве вынужденной (полосой) > меры [тоже] большую половину отшивает (на глаз -- mailgraph как > сломался при переезде на 2.4, так его и забросил, не починив > быстро). Но при этом я из этого глобальных выводов и > универсальных рекомендаций не делаю, поскольку более умный > и ушлый в теме народ говорит, что спамеры начинают бросать > кухарок (точнее, не пытаться слать прямо с них). Пытались. Но есть два неустранимых препятствия: 1) у провайдеров обычно более сильная antispam-team, чем у кухарок, 2) провайдеров несклько меньше, чем кухарок. Поэтому пересылка через провайдера -- дело не шибко надёжное: если начнёшь поливать спамом в промысловых количествах (сотни, а иногда и тысячи соединений в секунду), тебся поймают через секунду. Года два назад была такая песня: все наши провайдеры кинулись настраивать timeout-фильтры, чтобы не больше K писем в M минут с /N сетки. Ну, и донастривались: поста с umail на rol до сих пор ходит больше суток :(. А если наливать в час по чайной ложке -- тебя схавают чёрные списки. Куда как легче зайти на irc, скачать список тысячи-другой свежеотдрюченных виндовзов со спам-ботами и налить в каждую по чуть-чуть. Спам-бот не дурак, он не станет сильно долбиться в одно и то же место. Тем же путём и заказные DOS-ы делаются. Только покупателей меньше. Кстати, вот ещё один неформальный признак бота: пришло письмо из Бразилии со спамом на русской про грузчиков, из одмена, которого ты в глаза не видел, и которого не увидишь больше никогда. Возможно, не одно письмо, а три. -- George V. Kouryachy (aka Fr. Br. George) mailto:george at altlinux_ru