Witam na mojej stronie

W korpo jak coś nie idzie po twojej myśli to eskalujesz to do szefa (a potem do szefa twojego szefa).
Prequel: na potrzeby newsa będę pisał, że klient na domenę warszawa.example. Mail gatewaje odrzucają pocztę na typowe przypadki typosquatingu komunikatem "prawdopodobnie chciałeś wysłać pocztę do domeny X ale zrobiłeś literówkę". 

Klient: incydent, nie można wysłać poczty na imię.nazwisko@warsawa.example
Rozwiązanie incydentu: Sprawdź poprawność adresu email
odmowa uznania rozwiazania: Adres email jest poprawny, nadal nie działa
Rozwiązanie incydentu: Zarówno ja, jak i nasze serwery pocztowe "widzimy", że adres email nie jest poprawny. Co widać wyraźnie w komunikacie NDR.

Dzwoni teams: Szef klienta, mój szef, klient:
- Dlaczego zamykasz incydent bez rozwiazania problemu?
- Błąd nie leży po naszej stronie, To Klient wpisuje błędny adres email
- Ale imię.nazwisko to człowiek, który siedzi tuż obok. Jakim cudem jest to niepoprawny adres email?
- Klient wpisuje imię.nazwisko@warsawa.example, poprawny adres to imię.nazwisko@warszawa.example, brakuje "z" w nazwie domeny
- Szef klienta: Serio?
- Mój szef: Serio?
- Klient: Oh...

Mamy na mail gatewayach politykę - załączniki M$ Office zawierające makra są usuwane / zastępowane tekstem "Załącznik zawierał makra. Został usunięty zgodnie z polityką bezpieczeństwa".

Jak to wdrażaliśmy to dostaliśmy pierdyliard incydentów: "nie ma załącznika", za każdym razem:
rozwiązanie problemu: "Załącznik zawierał makra. Został usunięty zgodnie z polityką bezpieczeństwa"
odmowa uznania ticketa: "Nadal nie mamy załącznika"
rozwiązanie problemu: "Polityka bezpieczeństwa nie zezwala na makra w załącznikach"
odmowa uznania ticketa: "Nadal nie mamy załącznika"
rozwiązanie problemu: "Czytaj uważnie: Polityka bezpieczeństwa nie zezwala na makra w załącznikach"
odmowa uznania ticketa: "Ale wcześniej to działało! Sprawcie aby działało ponownie!"
(BTW: jest to najczęściej spotykana próba wymuszenia ustępstwa)
rozwiązanie problemu: "Nieprawda, te polityka jest aktywna od 5 lat. Ten zespół nie definuije polityk bezpieczeństwa. My tu pilnujemy aby polityka bezpieczeństwa była poprawnie wdrożona. Zgloś się do swojego oficera bezpieczeństwa."
odmowa uznania ticketa: "Kto jest moim oficerem bezpieczeństwa?"
...
normalnie kopanie się z koniem..

Zmieniłem tekst na: "Załącznik zawierał makra. Został usunięty zgodnie z polityką bezpieczeństwa. Polityka bezpieczeństwa nie zezwala na makra w załącznikach. Poproś nadawcę o wysłanie załącznika bez makra. W Internecie można znaleźć wiele sposóbów na usuwanie makr z dokumentów Office ("zapisz jako" dokument bez makra)".

Zgadnijcie czy pomogło.

Obserwuję phishingi idące z serwerów gmail, domena nadawcy jest losowa (znaczy niekoniecznie jest to gmail.com).

Nagłówek From: Meta

W środku link do rebrand[.]ly

I treść mniej więcej taka, że "naruszyłeś zasady reklamowania się", lub "użyłeś materiałów chronionych prawem autorskim", i że "twoje konto zostaje zawieszone".

Jako klient OVH otrzymałem fałszywe faktury na adres postmaster@. Hosty wysyłające znajdują się w sieci OVH ale link już prowadzi "w świat".

Tak, jestem tak stary, że używam Skype. Wczoraj ktoś mnie dodał do grupy ~600 osób, na której boty AI proponowały inwestycję w bitcoiny. Uczestników podzielilbym na typy: AI i reszta;

1. AI, które zarządza scamem - Nellie, który jest asystentem sprzedaży / servicedesk strony www,
2. AI, "James", który twierdzi, że jest doktorem i guru zakupów bitcoinowych, to on decyduje kiedy i co kupić/sprzedać,
3. Boty: Naganiacze, którzy szukają w katalogu skajpa osób i dołączających ich do grupy,
4. AI, Szczęśliwi gracze, którzy zapewniają "success story" - jak to w ciągu 5 minut "make money fast
5. Reszta, czyli osoby ostronne, takie jak ja,

Posiedziałem sobie ze 3h. Test Turinga oblany. Dla spragnionych wrażeń - w katalogu skajpa szukajcie "crypto", "cryptocurrency".

Na jednym z moich serwerów obserwuję od niedawna wzmożoną ilość ataków słownikowych na konta pocztowe - IPki pochodza z sieci Vodafone.

Przed chwilą zostalem niemile zaskoczony informacją, że domena spamcop.net nie została przedłużona (has expired)

Wiadomość wysłana przez: Trade Click sp. z o.o. z siedzibą w Warszawie, ul. Grzybowska 87, 00-844 Warszawa, działającej na zlecenie British Automotive Polska S.A. Generalnego Importera Jaguar Land Rover w Polsce, z siedzibą w Warszawie, przy ul. Szyszkowej 35/37, 02-285 Warszawa, wpisaną do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla m. st. Warszawy, XIII Wydział Gospodarczy, pod numerem KRS 0000574729, NIP: 526-27-29-762, Kapitał zakładowy 3 610 000 PLN całkowicie opłacony.  Dostawcą bazy i Podmiotem odpowiedzialnym za reklamacje jest 10 Milion Customers Sp. z o.o. z siedzibą w Śremie (63-100) ul. Dezyderego Chłapowskiego 28/39. Twoje dane podlegają profilowaniu w celu przedstawiania Ci ofert jak najbardziej dopasowanych do Twoich zainteresowań. Pozwoli to udoskonalać nasze usługi, personalizować komunikację, zapewnić większe bezpieczeństwo usług oraz wykrywać ewentualne nadużycia.
Jeśli chcesz uzyskać więcej informacji na temat przetwarzanych danych prosimy o kontakt:   10milio... # 10milion.pl

10 Million Customers Sp. Z O.O. jest powiązana ze znanym mi wczesniej spamerem BUY TOGETHER POLSKA SP. Z O.O.

Na czarną listę polecam: mailtrack.pl (reverseDNS), senderit.pl (kopertowy nadawca, URL), 10milion.pl, 10mc.pl (nagłówkowy nadawca)

Bo nie regaują na spam pochodzący z usługi googlegrups.

Kupiłem kiedyś coś z Agito, zarówno prywatnie jak i w pracy bezpośrednio, jak i w pracy przez Allegro. Na wszystkie 3 adresy email przyszedł dzisiaj newsletter, a w nim:

Ten list został wygenerowany automatycznie, prosimy na niego nie odpowiadać. Otrzymujesz ten list, ponieważ Twój adres e-mail jest zarejestrowany na liście subskrybentów biuletynu. Jeżeli nie życzysz sobie otrzymywać informacji o nowościach i promocjach, wypisz się z listy subskrybentów.

A ja nie zapisywałem się do newslettera... Moim zdaniem jakiś marketingowiec "pomyślał" aby zapisać do newslettera wszystkie adresy email.
Zalogowałem się na stronie emag.pl -> moje konto -> moje subskrybcje i checkbox "Chcę otrzymywać eMAG Newsletter" jest PUSTY.

Jeden dzień z tym człowiekiem i zarobisz nawet 30 000 miesięcznie - bez wychodzenia z domu. Już ponad 12,000 Polaków wzbogaciło się pod okiem milionera - wszyscy korzystają z jego sekretów dających szybkie i wysokie zarobki w internecie.

Z tego co wyczytałem w Internecie Pan/i (poprzednio pod szyldem "Instytut Ossolińskiego", "Instytut Biznesu", "Akademii Wagnera" ) sprzedaje e-booki. Spam pochodzi z domeny reklama44.pl zarejestrowanej na kwiaciarnię Róża w Gliwicach.

do proftpd możemy podłączyć moduł geoip - pozwalający na logowanie tylko z okreśonych krajów. Poniżej jest konfiguracja pozwalająca na logowanie z PL oraz z sieci lokalnej (adresy w sieciach prywatnych nie mają kraju)

[Class geoip-whitelist]
    From 192.168.0.0/24
[/Class]

[IfModule mod_geoip.c]
#GeoIPAllowFilter CountryCode (PL|US)
GeoIPAllowFilter CountryCode PL
GeoIPLog /var/log/proftpd/geoip.log
GeoIPPolicy deny,allow
[/IfModule]

[IfClass geoip-whitelist]
    # Disable mod_geoip for the whitelisted clients
    GeoIPEngine off
[/IfClass]

[IfClass !geoip-whitelist]
    # Enable mod_geoip for all non-whitelisted clients
    GeoIPEngine on
[/IfClass]

Oczywiście nalezy pamiętać, że włamywacz może wynająć serwer VPN z polskim adresem IP lub użyć serwera / komputera na który włamał się wcześniej.

W jaki sposób zabezpieczyć logowanie do panelu administracyjnego Wordpressa, tak aby można się było logować tylko z Polski? Wykorzystując moduł geoip apacza:

[IfModule mod_geoip.c]
  GeoIPEnable On
  GeoIPDBFile /usr/share/GeoIP/GeoIP.dat
[/IfModule]

LoadModule geoip_module /usr/lib/apache2/modules/mod_geoip.so

[IfModule mod_geoip.c]
        SetEnvIf GEOIP_COUNTRY_CODE PL AllowCountry
[/IfModule]

[Files wp-login.php]
[RequireAll]
        [IfModule mod_geoip.c]
                Require env AllowCountry
        [/IfModule]
[/RequireAll]
[/Files]

Oczywiście nalezy pamiętać, że włamywacz może wynająć serwer VPN z polskim adresem IP lub użyć serwera / komputera na który włamał się wcześniej.

Dostałem ostatnio Wordpressa po włamaniu. Włamywacz umieścił plik css.php, który komunikował się z serwerem CC imagebot.pw. Jeżeli więc w logach serwera DNS zauważycie zapytania o tą domenę a następnie apacz bedzie usiłował się z nią połączyć - to macie włamanie do Wordpressa. Prawdopodobnie panel administracyjny serwera CC jest pod adresem http://imagebot.pw/storage/index.php. User-Agent robota skanującego "Xenu Link Sleuth" z 212.7.217.50 (włamywacz ma tam wykupiony serwer VPS lub dedykowany).

Domain Name: IMAGEBOT.PW
Domain ID: D37123845-CNIC
WHOIS Server: whois.reg.ru
Referral URL: https://www.reg.ru/
Updated Date: 2016-10-09T12:22:16.0Z
Creation Date: 2016-10-04T12:19:48.0Z
Registry Expiry Date: 2017-10-04T23:59:59.0Z
Sponsoring Registrar: Registrar of Domain Names REG.RU, LLC
Sponsoring Registrar IANA ID: 1606
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Registrant ID: C85925745-CNIC
Registrant Name: Ivan Sidorov
Registrant Organization: REG.RU Ltd
Registrant Street: ul.Koshkina, 15, kv.4
Registrant City: Moscow
Registrant State/Province: MOSCOW REGION
Registrant Postal Code: 123456
Registrant Country: RU
Registrant Phone: +380.678522062
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: adm-group@newtime.ru
Admin ID: C85925750-CNIC
Admin Name: Ivan Sidorov
Admin Organization: REG.RU Ltd
Admin Street: ul.Koshkina, 15, kv.4
Admin City: Moscow
Admin State/Province: MOSCOW REGION
Admin Postal Code: 123456
Admin Country: RU
Admin Phone: +380.678522062
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: adm-group@newtime.ru
Tech ID: C85925760-CNIC
Tech Name: Ivan Sidorov
Tech Organization: REG.RU Ltd
Tech Street: ul.Koshkina, 15, kv.4
Tech City: Moscow
Tech State/Province: MOSCOW REGION
Tech Postal Code: 123456
Tech Country: RU
Tech Phone: +380.678522062
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: adm-group@newtime.ru
Name Server: NS1.FIRSTVDS.RU
Name Server: NS2.FIRSTVDS.RU
DNSSEC: unsigned
Billing ID: C85925755-CNIC
Billing Name: Ivan Sidorov
Billing Organization: REG.RU Ltd
Billing Street: ul.Koshkina, 15, kv.4
Billing City: Moscow
Billing State/Province: MOSCOW REGION
Billing Postal Code: 123456
Billing Country: RU
Billing Phone: +380.678522062
Billing Phone Ext:
Billing Fax:
Billing Fax Ext:
Billing Email: adm-group@newtime.ru
>>> Last update of WHOIS database: 2016-11-24T09:02:52.0Z <<<

Na wp.pl pojawił się quiz matematyczny z pytaniami na poziomie 4 (?) klasy podstawówki. Kilka pytań okazało się problematycznych, ale o prawdziwą pomstę wołają komentarze pod quizem. Ale może najpierw problematyczne pytania:

Które zdanie nie jest prawdziwe? Sprawdźcie w kalendarzu.

• W każdym miesiącu są dwa poniedziałki.
• W każdym miesiącu są cztery poniedziałki albo więcej.
• W każdym miesięcu jest pięć poniedziałków.

Co piąty balon z 30 nadmuchanych jest żółty, co trzeci niebieski, pozostałe są czerwone. Ile jest czerwonych balonów?

• 8
• 10
• 14
• 18

Wykonajcie działania. Który z wyników po zwiększeniu o jeden będzie liczbą o jednakowych cyfrach?

• 100 – 90 + 10
• 45 – 16 + 23
• 96 – 58 + 12
• 75 - 37 + 5

 Oraz obiecane komentarze (najlepsze z najlepszych):

Kiko
Proszę mi powiedzieć, jakim cudem w każdym miesiącu jest 5 poniedziałków. W lutym to możliwe chyba tylko w latach przestępnych i to raz na ruski rok.

jaaa
Z tym kalendarzem zła odpowiedź, nie każdy miesiąc ma 5 poniedziałków, są błędy w quizach :-)

R66
W pytaniu 3 mamy wskazać BŁĘDNĄ odpowiedź więc autor się nie pomylił. Gorzej z pytaniem 7. 75-37+5=75-42=33. 33 powiększone o jeden, czyli 34 nijak nie daje dwóch identycznych cyfr.

ok
Ten Quiz pisał matoł!!! Dwa zadania są błędne. Nic dziwnego, że mamy głupie dzieci.

talent
Wy przyzwyczailiście się numerować balony ! A dlaczego ? Nikt Was do tego nie nakłania ! Jeśli macie kłopoty z wyobraźnia, to proponuje ułożyć balony w okrąg - bez numerów. Jeśli założymy, że balony maja tylko jeden kolor, to musimy odliczając kolejne i przypisując im kolory pomijać te już wcześniej pokolorowane. Tak więc pierwszych odliczanych będzie niewątpliwie 6, ale następnych już nie 10 lecz 9 bo musimy nie nakładać kolorów. A skoro tak, to czerwonych będzie tyle co zostało nie pokolorowanych - czyli 15

Stasiek
W zadaniu z balkonami wynika że balony 15 i 30 mają po dwa kolory. Chyba tam jest błąd?
 

Odpowiedzi Lemata specjalnie dla dzieci z podstawówki:

• Zdanie "W każdym miesięcu jest pięć poniedziałków." nie jest prawdziwe - zatem jest to odpowiedź na zadane pytanie
• 30/5+30/3=6+10=16, 30-16=14, jest 14 balonów czerwonych.
  W treści zadania nie ma mowy o ustawianiu balonów w ciąg i usuwaniu z niego co 3-ego i co 5-ego elementu. Mamy tu nieuporządkowany zbiór balonów. Nie ma mowy o tym, że balony mogą mieć dwa kolory jednocześnie!
• 75 - 37 + 5=43, 43+1=44
  
  działania "+" i "-" mają jednakowy priorytet. Jeżeli jednak nie wykonujemy działań od lewej do prawej to powinnismy uwzględniać znak liczby:
  
  75-37+5 nie można uprościć do 75-42 !, bo -37+5=-32 (w 4 klasie podstawówki nie ma liczb ujemnych)

Mam wrażenie, że komentarze na portalach są pisane zanim ludzie pomyślą.