Forumnyheter:

Gmail har under ett par månaders tid blockerat Dubbningshemsidans e-postmeddelanden, men det ska nu vara löst. Om du missat viktiga e-postmeddelanden under denna tid, kontakta webbmastern på så löser vi allt.

Huvudmeny

Gmail har blockerat Dubbningshemsidans e-postmeddelanden

Startat av Racnar1, 14 augusti 2022 kl. 11:10:59

Föregående ämne - Nästa ämne

0 Medlemmar och 1 gäst tittar på detta ämne.

TonyTonka

Citat från: Daniel Hofverberg skrivet 31 augusti 2022 kl. 08:47:50Som ni förstår är det här väldigt allvarligt, så det är nu min högsta prioritet - så tills det här är löst kommer inga andra uppdateringar av Dubbningshemsidan att ske, inga recensioner och ingen jakt på creditlistor.

Hur lång tid kommer det ta att lösa tror du?  ???

Kan det vara så att de skickat från något program eller någon hemsida som får det att se ut som att det kommer från Dubbningshemsidan, så att de inte egentligen har hackat sidan? Man har ju hört att det har hänt på andra ställen på internet.

Och vad är det för typ av spam? Viruslänkar? Löften om att få pengar av en indisk prins? Ett mejl om att "heta singlar vill ha dig" ?
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Anders M Olsson

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 09:46:35Kan det vara så att de skickat från något program eller någon hemsida som får det att se ut som att det kommer från Dubbningshemsidan, så att de inte egentligen har hackat sidan? Man har ju hört att det har hänt på andra ställen på internet.
Eftersom Daniel skriver att mailen syns i loggen på servern verkar det ju troligt att någon verkligen har lyckats ta sig in på Daniels server och skicka mailen därifrån.

Det kan förklara varför jag stundtals har upplevt viss fördröjning i forumet den senaste tiden.

Det som kanske är allra mest allvarligt är att om någon verkligen har lyckats skaffa sig root-behörighet på servern kan de ha lagt in en bakdörr så att de kan komma in igen även om alla lösenord byts ut.

Steffan Rudvall

Kan detta ha något att göra med den hackade recensionen?

TonyTonka

https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 09:46:35Kan det vara så att de skickat från något program eller någon hemsida som får det att se ut som att det kommer från Dubbningshemsidan, så att de inte egentligen har hackat sidan? Man har ju hört att det har hänt på andra ställen på internet.
Det var min första tanke också, men eftersom de faktiskt syns i mailserverns logg så måste det faktiskt komma från Dubbningshemsidan. Om det vore en förfalskad avsändare, så skulle det aldrig dyka upp i mailloggen här utan bara på den servern som faktiskt skickade meddelandet.

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 09:46:35Och vad är det för typ av spam? Viruslänkar? Löften om att få pengar av en indisk prins? Ett mejl om att "heta singlar vill ha dig" ?
I mailloggen kan jag bara se avsändare, mottagare och ämnesfält, inte själva meddelandena, men att döma av rubrikerna ser det ut som till största delen reklam/länkar till (gissningsvis) skumma dejtingsidor/kontaktannonssidor.

Citat från: Anders M Olsson skrivet 31 augusti 2022 kl. 10:20:10Det som kanske är allra mest allvarligt är att om någon verkligen har lyckats skaffa sig root-behörighet på servern kan de ha lagt in en bakdörr så att de kan komma in igen även om alla lösenord byts ut.
Ja, precis. När man är säker på att inga fler spam skickas ut måste allting granskas noga för att säkerställa att inga bakdörrar finns.

Men jag hoppas att de faktiskt inte har lyckats skaffa root-behörighet till hela servern, för då är det som sagt väldigt allvarligt; för då kan de ställa till med väldigt mycket mer än "bara" spamutskick... Men mer sannolikt är nog att de lyckats skaffa rootbehörighet till SMTP-servern (d.v.s. Postfix i Linux för utgående e-post), men inte själva servern - för om det vore själva servern ser jag ingen anledning till att inte samtidigt byta ut/ändra en massa sidor och åstadkomma större skada än "bara" e-postsystemet.

Citat från: Steffan Rudvall skrivet 31 augusti 2022 kl. 10:46:51Kan detta ha något att göra med den hackade recensionen?
Jag tror att det är ett helt separat problem och en isolerad händelse, då det i det fallet bara verkade vara att någon listat ut adressen till min "hemliga" sida, men ska givetvis utreda detta ordentligt. :)


TonyTonka

Bara så att jag vet, jag sitter vid jobbets dator just nu, kan hackarna ta sig in på våra datorer om vi besöker sidan eller forumet?  :-\
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 11:04:05Bara så att jag vet, jag sitter vid jobbets dator just nu, kan hackarna ta sig in på våra datorer om vi besöker sidan eller forumet?  :-\
Nej. Den skumma recensionen, som innehöll farlig kod, är korrigerad sedan länge för att ta bort JavaScript-koden; och jag hittar inga tecken på att någon sida på servern är ändrad. Inga datumstämplar ser onaturliga ut, utan allt ser ut som det alltid gjort.

Hittills hittar jag inga spår av någonting skumt annat än i e-posten, vilket får mig att misstänka att de har lyckats få root-access till Postfix (serverprogrammet för utgående e-post), men inte till själva servern. Men vi får väl se om det händer igen efter att jag bytt lösenorden ifråga...

TonyTonka

Citat från: Daniel Hofverberg skrivet 31 augusti 2022 kl. 11:20:21Nej. Den skumma recensionen, som innehöll farlig kod, är korrigerad sedan länge för att ta bort JavaScript-koden; och jag hittar inga tecken på att någon sida på servern är ändrad. Inga datumstämplar ser onaturliga ut, utan allt ser ut som det alltid gjort.

Hittills hittar jag inga spår av någonting skumt annat än i e-posten, vilket får mig att misstänka att de har lyckats få root-access till Postfix (serverprogrammet för utgående e-post), men inte till själva servern. Men vi får väl se om det händer igen efter att jag bytt lösenorden ifråga...

Hur ofta skickar spammarna, och när skickade de senast?
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 11:26:49Hur ofta skickar spammarna, och när skickade de senast?
I mailloggen hittar jag 28 mail som gick ut från kl. 02:22:53 i natt, men ingenting efter det. Före det var ett par dussin mail kl. 01:52:10. Men då jag är på jobbet just nu har jag inte tid att kolla upp saken mer ordentligt, men det finns alltså en chans att problemet kan vara löst i och med lösenordsändringen. Vi får hoppas på det bästa...

Nu har jag dock bara sökt på just "" som avsändare - det måste förstås gås igenom även andra avsändaradresser, för att säkerställa att det inte är ett större problem, men det hinner jag inte från jobbet utan det måste vänta tills i afton. :)
(då mailloggen är oerhört omfattande och loggar alla anslutningsförsök och allting, så består den av flera miljoner rader text; så det är inget man kan läsa igenom allting av manuellt)

Scoobydoofan1

Citat från: Daniel Hofverberg skrivet 31 augusti 2022 kl. 11:37:01I mailloggen hittar jag 28 mail som gick ut från kl. 02:22:53 i natt, men ingenting efter det. Före det var ett par dussin mail kl. 01:52:10. Men då jag är på jobbet just nu har jag inte tid att kolla upp saken mer ordentligt, men det finns alltså en chans att problemet kan vara löst i och med lösenordsändringen. Vi får hoppas på det bästa...

Nu har jag dock bara sökt på just "" som avsändare - det måste förstås gås igenom även andra avsändaradresser, för att säkerställa att det inte är ett större problem, men det hinner jag inte från jobbet utan det måste vänta tills i afton. :)
(då mailloggen är oerhört omfattande och loggar alla anslutningsförsök och allting, så består den av flera miljoner rader text; så det är inget man kan läsa igenom allting av manuellt)
Vad exakt är allt det här? Vad är det som pågår med gmail och email?

Daniel Hofverberg

Citat från: Scoobydoofan1 skrivet 31 augusti 2022 kl. 11:45:30Vad exakt är allt det här? Vad är det som pågår med gmail och email?
Det enda jag vet just nu är att en stor mängd spam har skickats ut av obehöriga personer (att döma av IP-adresserna i Ryssland och Indien) från Dubbningshemsidans servern. Exakt hur eller hur länge är ännu oklart.

Och det har lett till att Gmail har blockerat hela Dubbningshemsidans domän, men det var alltså inte (som jag ursprungligen trott) att Gmail misstolkat forumets mail som spam utan det är faktiskt spammeddelanden som skickats ut utan min vetskap.

Jag får återkomma med mer ordentlig information när jag är säker på att inga fler spam skickas ut och när jag gått igenom loggar för att se hur det här har gått till. Men det kan alltså inte göras från jobbet, utan kan ske tidigast i afton. :)

TonyTonka

Citat från: Daniel Hofverberg skrivet 31 augusti 2022 kl. 11:50:18Det enda jag vet just nu är att en stor mängd spam har skickats ut av obehöriga personer (att döma av IP-adresserna i Ryssland och Indien) från Dubbningshemsidans servern. Exakt hur eller hur länge är ännu oklart.

Och det har lett till att Gmail har blockerat hela Dubbningshemsidans domän, men det var alltså inte (som jag ursprungligen trott) att Gmail misstolkat forumets mail som spam utan det är faktiskt spammeddelanden som skickats ut utan min vetskap.

Jag får återkomma med mer ordentlig information när jag är säker på att inga fler spam skickas ut och när jag gått igenom loggar för att se hur det här har gått till. Men det kan alltså inte göras från jobbet, utan kan ske tidigast i afton. :)

Har du hunnit kika på det än? :)
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Fortfarande inga fler utskick till sedan kl. 02:22:53 i natt, så nästan ett dygn sedan alltså. Det verkar lovande, så med lite tur kan lösenordsbytet ha löst problemen. :) 

Men jag måste fortfarande måste gå igenom för att se så att inte spam skickats ut från någon annan adress (vilket är svårare att få någon överblick över, då loggen som sagt är väldigt stor och man nästan måste söka på något för att inte bli tokig).

Men e-postkön är i alla fall tom nu, medan den igår natt bestod av 350 oskickade mail - ett tydligt tecken på spamutskick till en större mängd adresser, i och med att alla tillfälliga fel ska enligt praxis läggas tillbaka i mailkön så att mailservern försöker att skicka det mailet igen (och de flesta spamutskick sker ju till adresser som spammarna inte ens vet om de är giltiga eller inte; därav det väldigt stora antalet mail i mailkön).

Ett litet orostecken kvarstår dock, när jag nu gått igenom serverloggen över lyckade inloggningar till serverns root-konto. Förutom IP-adresserna från mitt hem och min arbetsplats hittar jag två IP-adresser som jag inte känner igen; en som loggat in på servern den 16 augusti och en som loggat in den 26 maj i år. Det kan vara helt oskyldigt, ifall jag har loggat in någon annanstans ifrån än hemmet och jobbet, men det måste undersökas noggrannare...
(Just för att det ju är väldigt viktigt att säkerställa att ingen har loggat in på servern via root-kontot, då de i så fall kan ha installerat bakdörrar och åstadkommit allt möjligt sattyg)

Daniel Hofverberg

IP-adressen som loggade in på servern den 16 augusti hör till Runö möten & events i Åkersberga, så det var garanterat jag under dagarna jag var på konferens där.

Inloggningen den 26 maj är däremot mer tveksamt. Enligt geolokalisering hör IP-adressen hemma i Burträsk; ungefär fyra mil från Skellefteå. Där är jag 100% säker på att jag inte varit i år, men nu är ju geolokalisering ingen exakt vetenskap så det behöver inte vara just där. Men när det i alla fall sannolikt hör hemma i Västerbotten, så är det väl troligt att det också var jag men någonstans ifrån som jag inte kommer ihåg - när vi nu vet att spammarna använt IP-adresser i Ryssland och Indien, så känns det väl ganska osannolikt att ryska och indiska spammare skulle ha samröre med hackers i Västerbotten...

Däremot kan jag inte se till ett enda spamutskick på två och ett halvt dygn (sedan natten till den 1 september), varken till eller andra misstänkta e-postadresser. Det är svårt att vara helt säker, då mailloggen som sagt är väldigt stor och nästan omöjlig att gå igenom för hand, men i kombination med att e-postkön också varit tom sedan dess (och före det hade flera hundra oskickade mail i kön), så tror jag att problemen ska vara lösta. :)

Exakt hur det här kunnat hända vet jag inte, men jag gissar att spammarna på något sätt har tagit sig in på Postfix (mailserverprogramvaran) root-konto och därigenom kunnat skicka mängder av spam. Det borde inte kunna hända, för enligt Postfix dokumentation ska root-konton automatiskt vara inaktiverade och inte gå att komma in via - men kanske kan jag ha råkat ändra någon inställning om det, eller också är det någon uppdatering till Postfix som har ändrat standardvärdena. Oavsett vilket verkar det i alla fall ha hjälpt att byta lösenord till Postfix root-konto till ett betydligt längre och svårare lösenord än senast.

Jag gissar att det har pågått sedan den 23 juli i år - när jag loggar in på Googles Postmaster Tools ser jag nämligen att det var då som IP-adressens rykte ändrades från "Medium" till "Bad", så det var förmodligen ungefär då som Gmail började blockera Dubbningshemsidans IP-adress också.

Med facit i hand borde jag förstås ha undersökt möjligheten att någon utnyttjat Dubbningshemsidan för att skicka spam redan då, men då det hänt en gång tidigare att Google blockerat Dubbningshemsidan på grund av att de misstolkat legitima mail som spam så var jag så övertygad om att så var fallet även nu... :-[

Då återstår frågan när Google häver blockeringen av Dubbningshemsidans (legitima) mail för Google-användare...? Jag har tyvärr inga bra svar, men gissar att det nog kan ta 1 - 2 veckor efter att spamutskicken slutade innan deras algoritmer anser att Dubbningshemsidan är "säker" igen.