ο ελάχιστος όλων elahistos at yahoo.gr
Tue May 31 12:46:25 UTC 2011 

Τι μπορούμε να μάθουμε από το παραπάνω γράμμα;

1. Όταν λαμβάνουμε τέτοιο γράμμα όπου προέρχεται από κάποιο «γνωστό» μας
και περιλαμβάνει ένα παράξενο σύνδεσμο, τότε πρόκειται για τυπικό spam.
Σε νεότερα spam μπορεί να αλλάξει το περιεχόμενο, ωστόσο τώρα παίζει
το στυλ όπου το γράμμα περιλαμβάνει ένα σύνδεσμο μόνο.

2. Ο σύνδεσμος έχει κακόβουλο περιεχόμενο, και προσπαθεί να
εκμεταλλευτεί τον περιηγητή σας.
Οπότε δεν επισκεπτόμαστε το σύνδεσμο.

3. Ποιος έστειλε το γράμμα; Κατά βάση δεν είναι ο φερόμενος αποστολέας.
Κατά πάσα πιθανότητα ο αποστολέας (δεν είναι σίγουρο) πήγε σε κάποιο μολυσμένο
Internet Cafe ή εγκατέστησε λογισμικό με δούρειο ίππο, και έγινε
διαρροή του διευθυνσιολογίου.
Οπότε, μιλάμε για κάποιον που γνωρίζει (είναι είναι ο ίδιος) τον
elahistos at yahoo.gr, είχε επαφή
με το έργο Slackintosh, κτλ.

4. Από που ήρθε το γράμμα; Επιλέγουμε View Original από το GMail μας
για να δούμε όλες τις κεφαλίδες.
Βλέπουμε συγκεκριμένα το κομμάτι που αναφέρει

Received: from [84.15.62.2] by web27908.mail.ukl.yahoo.com via HTTP;
	Tue, 31 May 2011 11:58:06 BST
X-Mailer: YahooMailWebService/0.8.111.303096

Οπότε είναι μέσω YahooMail (Web), από τη διεύθυνση 84.15.62.2.
Από που είναι το 84.15.62.2;

Βλέπουμε στο
http://whois.domaintools.com/84.15.62.2
και διαπιστώνουμε, Λιθουανία!
Οπότε οι spammers έχουν διασύνδεση στη Λιθουανία.

5. Και τι κάνουμε για τώρα ως Ubuntu-gr;
Έβαλα τη διεύθυνση του Γιάννη να γίνεται moderated, οπότε όταν στέλνεται γράμμα
να πρέπει να το επιτρέπει πρώτα κάποιος από τους διαχειριστές (Μιχάλης
Κ. ή εγώ).
Θα το αφήσουμε έτσι για 1-2 βδομάδες μέχρι να βαρεθούν εκεί στη Λιθουανία.

6. Τι κακόβουλο ήθελαν να κάνουν;
Μπορούμε να αναλύσουμε τη σελίδα του συνδέσμου που δίνεται.
Κάνουμε τη λήψη της σελίδας με wget, π.χ.

wget http://......          (δε γράφω το πλήρη σύνδεσμο)

και το αποτέλεσμα πάει σε ένα αρχείο find11.html.
Εκεί μέσα βλέπουμε διαφημίσεις για CMS, σχεδόν άκακο, ώστε στο τέλος
του αρχείου υπάρχει εντολή για αυτόματη μετάβαση σε νέα σελίδα,
www τελεία safetylife2011 τελεία org,
Δοκιμάζουμε και εκεί με wget και βλέπουμε το πραγματικό πρόσωπο του
κακόβουλου προγράμματος.
Προωθεί συνέχεια από το ένα δικτυακό τόπο στον άλλο, και φθάνει σε μια σελίδα
όπου πωλούν φάρμακα για αθλητές. Στη διαδικασία αυτή γίνεται καταγραφή
του ΙΠ μας,
και όπως φαίνεται ανάλογα με την τοποθεσία του θύματος, εμφανίζει το
αντίστοιχο spam.
ΜΗ φορτώσετε τα παραπάνω στον περιηγητή σας διότι μπορεί να εκμεταλλευτούν και
κάποια αδυναμία του λογισμικού σας.


Αυτά, ελπίζω να ήταν ενδιαφέροντα!
Σίμος
=====================================


Σίμος ευχαριστώ για την απάντηση, τα πράγματα με την λογική είναι όπως τα λες όμως κάποια πράγματα δεν εξηγούνται και αφού το πάθημα μου είναι μια καλή ευκαιρία να ειπωθούν κάποια πράγματα, βάζω τα ερωτήματα και όποιος μπορεί απαντάει:

Ο λογαριασμός μου, αυτός που στέλνει τα spam:
α) είναι λογαριασμός που δεν ανοίγω ποτέ. τον χρησιμοποιώ μόνο για να εγγράφομαι σε διάφορες λίστες ΕΛΛΑΚ και όλα τα εισερχόμενα του μηνύματα προωθούνται σε ΑΛΛΟ λογαριασμό που έχω στο gmail και τα διαβάζω από τον thunderbird. 

β) σε pc με windows έχω να κάτσω πάνω από 3 χρόνια και σε internet καφέ δεν έχω πάει τουλάχιστον 2 χρόνια.
Η ΜΟΝΑΔΙΚΗ περίπτωση να έχει ανοίξει πρόσφατα ο λογαριασμός αυτός από web interface είναι από ένα imac που έχουμε σπίτι.
Δεν υπάρχει περίπτωση να έχω κολλήσει κάτι από windows διότι δεν έχω δεν χρησιμοποιώ και δεν έχω πάει σε internet καφέ εδώ και χρόνια.

γ)το slackintosh είναι απλά μια λίστα όπως την δική μας στην οποία έχω κάνει εγγραφή διότι η διανομή slackintsoh αφορά τα παλιά G4 powerpc και τίποτα παραπάνω.

Ειλικρινα πιστεύω ότι απλά μου έκλεψαν τον κωδικό, και λογικά τώρα που άλλαξα κωδικό θα σταματήσει το κακό. To πως μου τον έκλεψαν είναι ένα θέμα και σίγουρα φταίω απλά δεν έχω βρει ακόμα το πως...
Εκτώς και αν έχω αρπάξει κάποιο τόσο εξειδικευμένο mailware/ιό που στέλνει spam mails από είτε από το linux μου είτε από mac. 
Αλλά και πάλι πως στο καλό τα στέλνει χωρίς να κάνω εγώ login από browser στο yahoo.gr mail μου; 

Αν έξακολουθεί να στέλνει ο λογαριασμός μου spams και απλά τα μπλοκάρεις για να μην εμφανίζονται στην λίστα θα σε παρακαλούσα να με ενημερώσεις διότι τότε πραγματικά κάτι άλλο συμβαίνει εκτός από την κλοπή κωδικού.

More information about the Ubuntu-gr mailing list