Ανάλυση ανεπιθύμητων μηνυμάτων/αλληλογραφίας (Ήταν: Re: )

Simos Xenitellis simos.lists at googlemail.com
Tue May 31 13:27:51 UTC 2011 

(Είδα ότι το γράμμα δε μπήκε στο
https://lists.ubuntu.com/archives/ubuntu-gr/2011-May/date.html#end
διότι δεν άλλαξα τον τίτλο, οπότε το ξαναστέλνω για να μπει στο αρχείο
της λίστας. Δείτε στο τέλος του γράμματος
για την απάντηση στον Παντελή.)

2011/5/31 ο ελάχιστος όλων <elahistos at yahoo.gr>:
> http://tdcassiut.fateback.com/find11.htmlxxxxxxxxxxxxxxxxxxx
>

Τι μπορούμε να μάθουμε από το παραπάνω γράμμα;

1. Όταν λαμβάνουμε τέτοιο γράμμα όπου προέρχεται από κάποιο «γνωστό» μας
και περιλαμβάνει ένα παράξενο σύνδεσμο, τότε πρόκειται για τυπικό spam.
Σε νεότερα spam μπορεί να αλλάξει το περιεχόμενο, ωστόσο τώρα παίζει
το στυλ όπου το γράμμα περιλαμβάνει ένα σύνδεσμο μόνο.

2. Ο σύνδεσμος έχει κακόβουλο περιεχόμενο, και προσπαθεί να
εκμεταλλευτεί τον περιηγητή σας.
Οπότε δεν επισκεπτόμαστε το σύνδεσμο.

3. Ποιος έστειλε το γράμμα; Κατά βάση δεν είναι ο φερόμενος αποστολέας.
Κατά πάσα πιθανότητα ο αποστολέας (δεν είναι σίγουρο) πήγε σε κάποιο μολυσμένο
Internet Cafe ή εγκατέστησε λογισμικό με δούρειο ίππο, και έγινε
διαρροή του διευθυνσιολογίου.
Οπότε, μιλάμε για κάποιον που γνωρίζει (είναι είναι ο ίδιος) τον
elahistos at yahoo.gr, είχε επαφή
με το έργο Slackintosh, κτλ.

4. Από που ήρθε το γράμμα; Επιλέγουμε View Original από το GMail μας
για να δούμε όλες τις κεφαλίδες.
Βλέπουμε συγκεκριμένα το κομμάτι που αναφέρει

Received: from [84.15.62.2] by web27908.mail.ukl.yahoo.com via HTTP;
       Tue, 31 May 2011 11:58:06 BST
X-Mailer: YahooMailWebService/0.8.111.303096

Οπότε είναι μέσω YahooMail (Web), από τη διεύθυνση 84.15.62.2.
Από που είναι το 84.15.62.2;

Βλέπουμε στο
http://whois.domaintools.com/84.15.62.2
και διαπιστώνουμε, Λιθουανία!
Οπότε οι spammers έχουν διασύνδεση στη Λιθουανία.

5. Και τι κάνουμε για τώρα ως Ubuntu-gr;
Έβαλα τη διεύθυνση του Γιάννη να γίνεται moderated, οπότε όταν στέλνεται γράμμα
να πρέπει να το επιτρέπει πρώτα κάποιος από τους διαχειριστές (Μιχάλης
Κ. ή εγώ).
Θα το αφήσουμε έτσι για 1-2 βδομάδες μέχρι να βαρεθούν εκεί στη Λιθουανία.

6. Τι κακόβουλο ήθελαν να κάνουν;
Μπορούμε να αναλύσουμε τη σελίδα του συνδέσμου που δίνεται.
Κάνουμε τη λήψη της σελίδας με wget, π.χ.

wget http://......          (δε γράφω το πλήρη σύνδεσμο)

και το αποτέλεσμα πάει σε ένα αρχείο find11.html.
Εκεί μέσα βλέπουμε διαφημίσεις για CMS, σχεδόν άκακο, ώστε στο τέλος
του αρχείου υπάρχει εντολή για αυτόματη μετάβαση σε νέα σελίδα,
www τελεία safetylife2011 τελεία org,
Δοκιμάζουμε και εκεί με wget και βλέπουμε το πραγματικό πρόσωπο του
κακόβουλου προγράμματος.
Προωθεί συνέχεια από το ένα δικτυακό τόπο στον άλλο, και φθάνει σε μια σελίδα
όπου πωλούν φάρμακα για αθλητές. Στη διαδικασία αυτή γίνεται καταγραφή
του ΙΠ μας,
και όπως φαίνεται ανάλογα με την τοποθεσία του θύματος, εμφανίζει το
αντίστοιχο spam.
ΜΗ φορτώσετε τα παραπάνω στον περιηγητή σας διότι μπορεί να εκμεταλλευτούν και
κάποια αδυναμία του λογισμικού σας.


Αυτά, ελπίζω να ήταν ενδιαφέροντα!
Σίμος

2011/5/31 Pantelis  Koukousoulas <pktoss at gmail.com>:
> 2011/5/31 Simos Xenitellis <simos.lists at googlemail.com>:
>> Βλέπουμε στο
>> http://whois.domaintools.com/84.15.62.2
>> και διαπιστώνουμε, Λιθουανία!
>> Οπότε οι spammers έχουν διασύνδεση στη Λιθουανία.
>
> Αυτό δεν είναι απαραίτητο, απλά σημαίνει ότι χρησιμοποίησαν
> το server του yahoo της Λιθουανίας. Αυτός που το έστειλε μπορεί
> να το έκανε από οπουδήποτε μέσω ενός απλού web proxy, ή
> από κάποια τοποθεσία την οποία το yahoo εξυπηρετεί μέσω αυτών
> των servers.
>

Received: from [84.15.62.2] by web27908.mail.ukl.yahoo.com via HTTP;
       Tue, 31 May 2011 11:58:06 BST
X-Mailer: YahooMailWebService/0.8.111.303096

Το 84.15.62.2 δεν αποτελεί εξυπηρετητή της Yahoo στη Λιθουανία.
Κατά το http://whois.domaintools.com/84.15.62.2 πρόκειται για κάποιο
τοπικό mobile ISP.
Δε φαίνεται να είναι proxy, παρά υπολογιστής ρυθμισμένος να στέλνει
ανεπιθύμητα μέσω HTTP (Web),
με το χέρι ή μάλλον αυτοματοποιημένα.

Αυτό το web27908.mail.ukl.yahoo.com πρόκειται για εξυπηρετητή της Yahoo στο HB.
Η Yahoo δεν ενεργεί γρήγορα και αποτελεί εργαλείο για τους spammer.
Για τους λογαριασμούς yahoo.co.uk, η Yahoo επέτρεπε πάνω από έξι
χρόνια πρόσβαση
σε SMTP και POP3, χωρίς περιορισμούς.
Για Yahoo + spammer, δες http://www.data-wales.co.uk/ni_yahoo.htm

Σίμος

More information about the Ubuntu-gr mailing list