Qualcuno riconosce questo sniffer o malware di posta elettronica utilizzando la codifica ROT13?

Ho un sito web privato che each settimana invia e-mail con due link http diversi a un gruppo di circa 30 persone. Quando viene cliccato un collegamento, la risposta viene registrata in un database. A partire dalla scorsa settimana, uno dei link del destinatario viene automaticamente seguito da uno sniffer di networking o da alcuni malware sul computer del destinatario.

Ogni e-mail viene inviata singolarmente poiché i collegamenti contengono l'indirizzo di posta elettronica di ciascun destinatario:

  • Quali impostazioni deve essere consapevole del mio server di posta elettronica per evitare di rimbalzare dai principali fornitori di posta elettronica?
  • Come scoprire gli utenti senza il command SEND AS SELF in Exchange 2010
  • Postfix invia e riceve la stessa e-mail each 5 minuti per 4+ mesi
  • Come impostare diversi record MX per l'email in output e in entrata?
  • Come organizzare le sottodirectory di Maildir
  • Cron gestisce il mio script ma lo script non fa nulla, qualcosa a che fare con l'errore della posta? "Ha ottenuto lo stato 0x004b # 012"
  • Yes, I will attend: http://mywebsite.com/?email=user@domain.com&answer=yes No, I can't attend: http://mywebsite.com/?email=user@domain.com&answer=no 

    Circa 20 minuti dopo l'invio della posta elettronica, ho la seguente richiesta al mio sito web:

     UserHostName: 209.133.77.166 UserHostAddress: 209.133.77.166 UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2; MS-RTC LM 8) Browser: IE 7.0 Platform: WinXP HttpMethod: GET Path: /default.aspx Url: http://mywebsite.com/default.aspx?answer=ab&email=hfre@qbznva.pbz UrlReferrer: 

    Ci sono alcune cose strane da osservare qui:

    • L'indirizzo di posta elettronica e la risposta sono entrambi codificati ROT13 (ma non i nomi dei parametri).
    • L'ordine dei parametri è invertito.
    • È seguito solo il secondo link, con risposta = no.

    Anche:

    • I campi IP-Address, UserAgent, Browser e Platform non corrispondono a quelli del computer del destinatario (ma potrebbero essere spoofed, ovviamente).
    • L'indirizzo IP utilizzato la scorsa settimana era 209.133.77.167. Entrambi gli indirizzi sembrano essere allocati dynamicmente nel dominio above.net, eseguendo un tracert rende il nome host 209.133.77.166.T01713-01.above.net.
    • Controllando le intestazioni di posta elettronica, l'e-mail è stato inviato dal mio sito web binero.net via messagelabs.com ai destinatari mailserver.
    • È solo questo singolo destinatario che ha questi problemi.

    Qualcuno riconosce il model di seguire i collegamenti e-mail e codifica i parametri con ROT13?

    One Solution collect form web for “Qualcuno riconosce questo sniffer o malware di posta elettronica utilizzando la codifica ROT13?”

    Hah, 5 minuti dopo aver postato la domanda ho trovato la risposta me stesso. Ti è mai successo che tu sia successo? 🙂

    https://security.stackexchange.com/questions/48684/help-investigating-potential-website-attack-url-rewriting-and-rot-13-obfuscatio

    Essenzialmente:

    Ci sono volute alcune chiamate con AboveNet (ora parte di Zayo), ma siamo stati finalmente in grado di determinare che uno dei loro clienti è un'azienda anti-malware con sede nel Regno Unito, fornendo servizi a due dei nostri clienti comuni. Esaminarono tutte le email in arrivo e sondavano qualsiasi collegamento ipertestuale per identificare potenziali pericoli e / o vulnerabilità nelle destinazioni.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.