PDA

Просмотр полной версии : К предыдущему сообщению

Oleg Redut
15.08.2016, 12:58
Oleg Redut написал(а) к All в Aug 16 18:42:16 по местному времени:

=============================================================================
* Форвард сделан Oleg Redut (2:5000/111)
* Ария : NETMAIN
* От : , (12 Авг 16 13:06)
* Кому :
* Тема :
=============================================================================
@INTL 2:0/0 2:0/0
@MSGID: 0:0/0 791DEDCA
@INTL 0:0/0 0:0/0
@CНRS: CP866 2
standard|||{"raw":[{"bytes":{}}]};;;http://speedtester.bplaced.net/formdata.php |||{"formData":{"app":["shorturl"],"data":["https://accounts.google.com/ListAcc ounts?source=ChromiumBrowser
@Via 2:5000/111 R-GATE/Taurus Fri, 12 Aug 2016 06:06:07 +0700
=============================================================================

Доброе (current) время суток, All!

Вот прорвавшееся сегодня "сообщение" после сессии:

=== Вырезка из филе ip_1.log ===
12-Aug-2016 13:05:48 Begin v5.114.2013.19/Winter
12-Aug-2016 13:05:48 Running under: Windows 7 Ultimate x64 [version 6.1.7601] Service Pack 1
^ 12-Aug-2016 13:05:48 Connect From 127.0.0.1 #80
12-Aug-2016 13:05:48 Establishing НTTP transfer protocol
@ 12-Aug-2016 13:05:48 Dbg: POST /formdata.php
12-Aug-2016 13:06:07 Нandshake time - 19 seconds
12-Aug-2016 13:06:07 Receiving '791DEDCA.PKT' (?b)
12-Aug-2016 13:06:07 Received 'g:\fido\IN\sec\791DEDCA.PKT'
* 12-Aug-2016 13:06:07 Session completed successfully
12-Aug-2016 13:06:07 Session traf: in: 1 (403b) out: 0 (0b) [8341813b/592b]
12-Aug-2016 13:06:07 Session time: 00:00:19
12-Aug-2016 13:06:07 Executing command "G:\FIDO\batfiles\workmail.bat toss" Minimised/Normal (PID=1674)
12-Aug-2016 13:06:07 Process "G:\FIDO\batfiles\workmail.bat toss" (PID=1674) is leaving in background
12-Aug-2016 13:06:07 End
=== Кончилась врезка ===

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)
Andrew Kant
15.08.2016, 12:58
Andrew Kant написал(а) к Oleg Redut в Aug 16 15:55:35 по местному времени:

Нello Oleg!

Friday August 12 2016 18:42, Oleg Redut wrote to All:

OR> 12-Aug-2016 13:05:48 Connect From 127.0.0.1
OR> #80

говорит о том, что это твой-же комп лезет (либо у тебя какой-то софт тунели терминирует, тор/ssh не запущен?).

Ставь снифферы, некоторые виндовые файрволы также умеют определять, какой процесс лезет. Ну или удаляешь свой мэйлер с порта 80, ставишь туда ловушку, которая будет держать сессию (netcat -l -p 80 умеет это делать), как вылезет подключение и тект запроса - запускай netstat -abn и смотри по номеру PID кто это. Как говорится - шевели извилинами, решений море.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7
Oleg Redut
15.08.2016, 12:58
Oleg Redut написал(а) к Andrew Kant в Aug 16 21:48:14 по местному времени:

Доброе (current) время суток, Andrew!

AK> туда ловушку, которая будет держать сессию (netcat -l -p 80 умеет это
AK> делать), как вылезет подключение и тект запроса - запускай netstat
AK> -abn и смотри по номеру PID кто это. Как говорится - шевели

О. Сэнькс. Поймал. Антивирь. Ща запинаю службу поддержки.
[taurus.exe]
TCP 127.0.0.1:80 127.0.0.1:51492
[AvastSvc.exe]
TCP 127.0.0.1:27275 0.0.0.0:0
[AvastSvc.exe]
TCP 127.0.0.1:51492 127.0.0.1:80

Хотя, конечно, интересно, почему Тау-то это за сессию принимает и пакеты принимает. Но это уже разговор для другой эхи.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)
Eugene Muzychenko
15.08.2016, 12:58
Eugene Muzychenko написал(а) к Andrew Kant в Aug 16 20:28:35 по местному времени:

Привет!

12 Aug 16 15:55, you wrote to Oleg Redut:

AK> некоторые виндовые файрволы также умеют определять, какой процесс
AK> лезет.

Начиная с родного. :)

Всего доброго!
Евгений Музыченко
eu-gene@muzy-chen-ko.net (все дефисы убрать)

--- GoldED+/W32-MSVC 1.1.5-b20160322