Condividi:        

The (anti-)spam world thread

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Mikizo » 24/08/02 20:54

Nicola ha scritto:devi vedere il Received + in basso
Ok perfetto
l'email per l'abuse è abuse-bbb*at*telecomitalia*dot*it
Ok, qualcuno mi dice cosa è più utile scrivere nella mail all'abuse?
Cmq modifica le e-mail in nome*at*dominio*dot*it senno arriva SPAM pure a loro
Non basta nome*at*dominio.it? Pure *dot*?
ti è arrivato su un e-mail del gruppo wind/libero giusto ?
Giusto, inwind.
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Sponsor
 

Postdi Nicola » 25/08/02 10:08

Mikizo ha scritto:Ok, qualcuno mi dice cosa è più utile scrivere nella mail all'abuse?

L'avevo già proposta ad inizio pagina.. aspettiamo allora... :x
Mikizo ha scritto:Non basta nome*at*dominio.it? Pure *dot*?


Mettiamoci pure *dot* che non gausta mai!

Se per questo volta non l'hai fatto.. è uguale :) + o -
Ciao, Nicola
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 25/08/02 13:16

Perfetto, Nico. L'origine è proprio l'adsl di telecom.

Per Mikizo:
ho scritto un tutorial, e l'ho inviato a wm - che prima o poi dovrebbe renderlo disponibile.
Nel frattempo, ti spiego: i received funzionano così. Metti questa situazione (tutti gli IP e gli host sono di fantasia):

IP 216.21.32.43
[216.21.32.43.esempio.it]
ma si presenta come yahoo.com
Mittente

passa la posta a

IP 216.21.32.128
[mail.esempio.it]

che passa la posta a

IP 69.69.69.69
[mail.destinatario.it]
che la consegna.

Gli headers, essenzialmente, saranno così (con eventualmente qualche variazione


Received: from mail.esempio.it (mail.esempio.it[216.21.32.128]) by mail.destinatario.it [segue data e ID]
Received: from yahoo.com(216.21.32.43.esempio.it[216.21.32.43]) by mail.esempio.it [ecc ecc]

Nella pratica: i received sono in ordine inverso.
Tieni conto che lo spammer può aggiungere Received in fondo, e quindi potresti trovarti un

Received: from msn.com(212.24.32.28) by mail.yahoo.com

Aggiunta, e dunque fasulla. Per capire perché è fasulla ci vuole la comprensione di cos'è un open relay, che vi dirò più avanti.

Esempio di mail all'abuse:

[quando spedisco ad un provider lamentandomi dello spamming (scusate il mio inglese)]

Codice: Seleziona tutto
Hi,
I've received today the following UCE, coming apparently from IP ........ inside your network.
Please handle your user according to your TOS/AUP [acronimi di Terms of Service/Acceptable Use Policy]
Thank you,

zello

---UCE--- -> e qui incollo lo spam, header e corpo. Di solito non lo allego (molti abuse non amano gli allegati, in quanto possibili virus)


Invece, se è un open relay/open proxy

Codice: Seleziona tutto
Hi,
As shown in the headers of the following UCE, you have a wide open relay (proxy) at IP ........, already abused by spammers.
Please fix it or disconnect it from the Internet, depending on the skills of your system administrator.
Thank you,

zello

---UCE---

Tenete conto che l'abuse di solito manco legge il testo, ma esamina l'UCE (Unsolicited Commercial E-mail) con attenzione. E che spesso c'è un robot che vi notifica che l'abuse ha ricevuto la vostra mail.
Ciao,

--
zello
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi BianConiglio » 27/08/02 00:08

Questa è carina :

Return-Path: <bette5360e87@compaqnet.se>
Received: from compaqnet.se ([196.40.67.195]) by merlino.dido.net
(Post.Office MTA v3.5.3 release 223 ID# 0-55124U2500L250S0V35)
with SMTP id net for <mioindirizzo@mioindirizzo.net>;
Mon, 26 Aug 2002 23:41:26 +0200
Received: from smtp013.mail.yahou.com ([42.156.52.61])
by rly-xl05.dohuya.com with local; Mon, 26 Aug 2002 08:14:34 -0300
Received: from unknown (HELO pet.vosni.net) (22.14.89.8)
by anther.webhostingtotalk.com with smtp; Mon, 26 Aug 2002 05:13:53 +0600
Received: from unknown (87.140.242.223)
by hd.ressort.net with local; Mon, 26 Aug 2002 11:13:12 +0200
Received: from 94.85.125.20 ([94.85.125.20]) by n9.groups.huyahoo.com with smtp; Mon, 26 Aug 2002 13:12:31 +0800
Reply-To: <bette5360e87@compaqnet.se>
Message-ID: <021b07e61c4d$5482a4d4$0bb15ea2@nehudw>
From: <bette5360e87@compaqnet.se>
To: <mioindirizzo@mioindirizzo.net>
Subject: RE: Wives Uncensored Unveils New Exclusive Content!
Date: Mon, 26 Aug 2002 17:09:55 +0400
MiME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00E6_33E10A7E.B4254B76"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: The Bat! (v1.52f) Business
Importance: Normal


Giocate anche con il sito delle "disiscrizioni" http://206.231.72.143/users/bye.php


Ho notato che ultimamente molto spam viene firmato ( ma neho trovati anche all'inizo della mail ) con codici che non riesco a capire....con questa mail c'era questo : 8103jTnH8-73l11 1985hpXv5-084teFl15
Any suggestion ???
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi zello » 27/08/02 07:37

Ho notato che ultimamente molto spam viene firmato ( ma neho trovati anche all'inizo della mail ) con codici che non riesco a capire

Sono stringhe a caso aggiunte dallo spamware che usano per mandare via la posta. Servono a rendere ogni messaggio diverso, e quindi ad evitare che un mailserver possa scartare i messaggi uguali (a volte sono aggiunti nel Subject per lo stesso motivo)

Per BC: occhio all'8 seguito da una parentesi, te lo converte in smile.

E' più facile di quanto pensi:

Received: from compaqnet.se ([196.40.67.195]) by merlino.dido.net
(Post.Office MTA v3.5.3 release 223 ID# 0-55124U2500L250S0V35)


Samspade.org->blackhole list check:
Codice: Seleziona tutto
Osirus Relays List (OSIRUS):
This entry was last confirmed open on 4/8/2002
(2002/08/23) Open Proxy: http(80)


E' un proxy. Tutto il resto dei received è fuffa aggiunta dallo spammer, direi. Nota che lo stesso host si comporta anche da open relay, e che sembra che palleggi la mail in maniera poco chiara (sto guardando gli headers in ordb.org, lista di open relays). Inoltre si presenta sempre con nomi diversi, e sembra essere anche l'origine di spam (playcasinoonnet, cyberspacereality) secondo Spews.
Se vuoi vediamo anche da dove arriva, ma è uno dei casi in cui è meglio filtrare che mandare un lart...
Codice: Seleziona tutto
OrgName:    Agencias Unidas S.A.
OrgID:      AUS-9

NetRange:   196.40.67.192 - 196.40.67.199
CIDR:       196.40.67.192/29

Questa è la spamgang, e il suo upstream è
Codice: Seleziona tutto
OrgName:    Radiografica Costarricense S.A.
OrgID:      RADO

NetRange:   196.40.0.0 - 196.40.79.255
CIDR:       196.40.0.0/18, 196.40.64.0/20

Da un traceroute, si nota che questi sembrano direttamente attaccati alla rete (nessun upstream ulteriore, sembra).
Se vuoi, http://www.abuse.net mi segnala (per l'upstream):
abuse*at*racsa*dot*co*dot*cr
correo_abusivo*at*racsa*dot*co*dot*cr
mailabuse*at*racsa*dot*co*dot*cr

Ma - ripeto - mi sa che serve per meri fini statistici.

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 27/08/02 11:01

BianConiglio ha scritto:http://206.231.72.143/users/bye.php

Ma questa pagina non fa praticamente niente! Te metti l'indirizzo e nel momento dell'OK ti compare mioindirizzo@mioindirizzo.it has been removed.. ma nn sembra niente che faccia.. Naturalmente non avevo messo l'indirizzzo giusto avevo paura... E poi non fa neanche il controllo che l'email sia del tipo nome@nome.it ;)
Ciao, Niko
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi dado » 27/08/02 11:27

Altra spazzatura... spammers, aspetta che ti becco e ti chiudo il pc nell'ìarmadio e butto via la chiave!! :diavolo:

1)
Return-Path: <root@email.com>
Received: from [151.25.186.32] (HELO email.com)
by infinito.it (CommuniGate Pro SMTP 3.5.9)
with SMTP id 10638150 for io@infinito.it; Tue, 27 Aug 2002 02:48:10 +0200
Received: (from root@localhost)
by email.com (8.11.2/8.11.2) id g7R0n7l11646
for io@infinito.it; Tue, 27 Aug 2002 02:49:07 +0200
Date: Tue, 27 Aug 2002 02:49:07 +0200
Message-Id: <200208270049.g7R0n7l11646@email.com>
From: newsletter@sesso-in-webcam.tv
Mime-Version: 1.0
Content-Type: text/plain
Subject: News: ragazze in webcam

2)
Return-Path: <scottie_nie@exite.com>
Received: from md2.ksolutions.it ([194.153.172.186]) by mta2.alephint.it
with ESMTP id <20020827033334.PRTG4753.mta2@md2.ksolutions.it>
for <io@katamail.com>; Tue, 27 Aug 2002 05:33:34 +0200
Received: from 211.250.38.121 ([211.250.38.121])
by md2.ksolutions.it (Mirapoint)
with SMTP id APP37768;
Tue, 27 Aug 2002 05:30:24 +0200 (CEST)
Message-Id: <200208270330.APP37768@md2.ksolutions.it>
From: SESSO <scottie_nie@exite.com>
To: Undisclosed.Recipient
Subject: QUANTA passeraA....QUANTA LIBIDINE !!!
Sender: SESSO <scottie_nie@exite.com>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Mon, 27 Aug 2001 05.29.10 +0200
X-Mailer: MIME-tools 5.503 (Entity 5.501)

Il fatto dell'unsubscribe è risaputo che è una pacca.... :P

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 27/08/02 11:33

Lascia stare. Posta il tuo indirizzo su di uno script PHP, Dio solo sa cosa ci fa (ignora o fa listwashing, a seconda dell'acume dello spammers [rule#1 & #2 applied])

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 27/08/02 12:58

Dado's Latest Spam E-mails
1)
Codice: Seleziona tutto
Received: (from root@localhost)
by email.com (8.11.2/8.11.2) id g7R0n7l11646

Ahahah qui non c'è IP! Direttamente dal Mail-Server di email.com vero zello? O è 151.25.186.32 ? Mi sa 151.25.186.32 che come sospettavo è di Libero-Infostrada
Codice: Seleziona tutto
inetnum:      151.24.0.0 - 151.31.255.255
netname:      LIBERO-INFOSTRADA
descr:        Free Internet Dial-up Services
descr:        Via Lorenteggio 257 - 20152 Milano
country:      IT
admin-c:      AN2056-RIPE
tech-c:       AN2056-RIPE
rev-srv:      ns1.libero.it
rev-srv:      ns2.libero.it
status:       ASSIGNED PA
notify:       abuse*at*iol*dot*it
notify:       abuse*at*libero*dot*it
mnt-by:       AS1267-MNT
mnt-routes:   AS1267-MNT
changed:      hostmaster*at*iunet*dot*it 19991215
changed:      hostmaster*at*iunet*dot*it 20001024
changed:      hostmaster*at*iunet*dot*it 20011003
source:       RIPE

route:        151.25.0.0/16
descr:        INFOSTRADA
origin:       AS1267
cross-mnt:    AS1267-MNT
mnt-lower:    AS1267-MNT
mnt-routes:   AS1267-MNT
mnt-by:       AS1267-MNT
changed:      hostmaster*at*iunet*dot*it 19991125
changed:      hostmaster*at*iunet*dot*it 20011009
source:       RIPE

person:       Abuse Notification
address:      Via Lorenteggio 257
address:      I-20152 Milano
address:      Italy
phone:        +39 02 41331
e-mail:       abuse*at*iol*dot*it
e-mail:       abuse*at*libero*dot*it
nic-hdl:      AN2056-RIPE
changed:      hostmaster*at*iunet*dot*.it 19991125
source:       RIPE

2)
Codice: Seleziona tutto
Received: from 211.250.38.121 ([211.250.38.121])

samspade.org/t IP whois
Codice: Seleziona tutto
Trying whois -h whois.arin.net 211.250.38.121

OrgName:    Asia Pacific Network Information Centre
OrgID:      APNIC

NetRange:   210.0.0.0 - 211.255.255.255
CIDR:       210.0.0.0/7
NetName:    APNIC-CIDR-BLK2
NetHandle:  NET-210-0-0-0-1
Parent:     
NetType:    Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS.RIPE.NET
NameServer: RS2.ARIN.NET
NameServer: NS.TELSTRA.NET
Comment:    This IP address range is not registered in the ARIN database.
            For details, refer to the APNIC Whois Database via
            WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
            ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
            for the Asia Pacific region. APNIC does not operate networks
            using this IP address range and is not able to investigate
            spam or abuse reports relating to these addresses. For more
            help, refer to http://www.apnic.net/info/faq/abuse
           
RegDate:    1996-07-01
Updated:    2000-05-03

TechHandle: SA90-ARIN
TechName:   System Administrator, System
TechPhone:  +61 7 3858 3100
TechEmail:   

# ARIN Whois database, last updated 2002-08-26 19:15
# Enter ? for additional hints on searching ARIN's Whois database.


Trying whois -h whois.apnic.net 211.250.38.121
% [whois.apnic.net node-1]

%ERROR:201: access denied
%
% Sorry, access from your host has been permanently denied
% because of a repeated abusive behaviour.
% Please contact <apnic-dbm*at*apnic*dot*net> for unblocking.

Quindi whois.apnic.net se ne sbatte di dirmi di chi è l'IP...
Come detto qui:
Comment: This IP address range is not registered in the ARIN database.
For details, refer to the APNIC Whois Database via
WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
** IMPORTANT NOTE: APNIC is the Regional Internet Registry
for the Asia Pacific region. APNIC does not operate networks
using this IP address range and is not able to investigate
spam or abuse reports relating to these addresses. For more
help, refer to http://www.apnic.net/info/faq/abuse


Ahiaiahi..
P.S.: Ma è legale sto comportamento di APNIC che non posso investigare sullo spam di cui lui ha le info?? Gli asiatici sono 'protetti' allora? Adesso mi leggo http:/www.apnic.net/info/faq/abuse/
----
Ciao, Nicola
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 27/08/02 14:19

Lemmi sii:

Il primo:
1) viene da libero (il rDNS di 151.25.186.32 è ppp-32-186.25-151.libero.it, connessione dialup di libero anche senza bisogno di un whois). La seconda linea è falsa come giuda (perché qualcuno dovrebbe consegnare mail usando un dialup di libero come relay?). Lo spammer pensava che noi si supponesse l'esistenza di un relay anonimizzante su email.com (ma figurati, email.com mi ha già troncato almeno 5 account), e che non guardassimo l'IP. Non scherzo: sono veramente tonti, alle volte.
Buono abuse*at*libero*dot*it, che peraltro gli segherà l'account sicuramente (quando è così palese non è che ci metta molto)
2) Nico, gli indirizzi che cominciano per 211 e 212 sono asiatici, e vanno chiesti ad apnic. L'unica sfiga è che l'apnic non è accedibile via samspade da un paio di giorni (too many queries - ho notificato l'amministratore dell'apnic della cosa, e mi ha risposto in maniera da farmi capire che il mio gatto è intellettualmente qualificato per sostituirlo). Per scomodo che sia, bisogna usare o un tool di whois locale (io a volte uso Nettools [credo si chiami così, a casa controllo]) o direttamente il loro sito ( http://www.apnic.net/apnic-bin/whois2.pl ).
Peraltro, in questo caso si tratta di roba coreana (da 211.232 a 211.255 sono allocati alla Corea del sud, no, non lo so a memoria, ho provato su apnic) e quindi puoi usare samspade specificando whois.nic.or.kr
Codice: Seleziona tutto
Org Name           : Dobong Girls Middle School
State              : SEOUL

Uau, una scuola femminile!
Needless to say, è il solito proxy aperto coreano, listato praticamente ovunque. Lamentati con il contatto tecnico, ammesso e non concesso che sappia l'inglese (beh, l'inglese del manuale del proxy non lo sapeva, questo è sicuro)

samokm*at*netian*dot*com

e anche all'abuse del provider:

abuse*at*pubnet*dot*ne*dot*kr

Ma ho come l'impressione che non servirà a molto.

Nota su SpamPal, soprattutto per Mikizo: puoi sempre usarlo solo per filtrare queste schifezze coreane/cinesi/brasiliane - puoi star certo che nessuno di quelli che conosci ti scriverà mai usando un proxy di una scuola media femminile di Seul...

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi zello » 27/08/02 15:17

Uh, nota addizionale

Samspade ha anche una sua versione "locale", per windows. Gratis. Si scarica quà: http://samspade.org/ssw/download.html

Premessa: non l'ho mai provata...

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi dado » 28/08/02 11:26

Questa mi sembra palesemente inventata....

Return-Path: <katerine78@libero.it>
Received: from md2.ksolutions.it ([194.153.172.186]) by mta2.alephint.it
with ESMTP id <20020828065120.FIKT4753.mta2@md2.ksolutions.it>
for <xxx@xxx.com>; Wed, 28 Aug 2002 08:51:20 +0200
Received: from 12.152.6.250 (200-204-176-80.dsl.telesp.net.br [200.204.176.80])
by md2.ksolutions.it (Mirapoint)
with SMTP id APT01636;
Wed, 28 Aug 2002 08:48:06 +0200 (CEST)
Message-Id: <200208280648.APT01636@md2.ksolutions.it>
From: Katerine <katerine78@libero.it>
To: Webcam.Katerine
Subject: >> Katerine <<
Sender: Katerine <katerine78@libero.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Wed, 28 Aug 2002 08.48.00 +0200
X-Mailer: Microsoft Outlook Build 10.0.2616

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 28/08/02 12:20

Ne approfitto per segnalare un ulteriore sito utile:

http://cache.jp.apan.net/proxy-checker/

Per controllare se c'è un proxy aperto senza ricorrere alle liste.
Nel caso, provato su porta 8080 (dato che i proxy sono su 8080[http-proxy], 1080[socks proxy 4 e 5], 3127[squid] )

Diagnosis
OPEN PROXY: The proxy server is accessible from cache.jp.apan.net. The proxy must be accessible to anyone.
It's not a good idea keeping it open.


Uh, è un proxy aperto. E' il quinto sulla stessa rete in meno di una settimana. Bravini, questi brasiliani.

Se usi http://www.abuse.net/lookup.phtml trovi che sarebbe meglio mandare anche a:
abuse*at*telesp*dot*net*dot*br
[lascia stare security allo stesso dominio, è per i tentativi di cracking]

Infine, puoi provare a mandare anche a abuse*at*libero*dot*it per la mailbox (se esiste - puoi provare a postarci da un account che non usi, o - se conosci un po' di comandi SMTP - telnettare con l'smtp di libero e dare un abort prima di mandare il corpo del messaggio)

Ciao, e buona caccia

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 28/08/02 12:26

zello ha scritto:Infine, puoi provare a mandare anche a abuse*at*libero*dot*it per la mailbox (se esiste - puoi provare a postarci da un account che non usi, o - se conosci un po' di comandi SMTP - telnettare con l'smtp di libero e dare un abort prima di mandare il corpo del messaggio)

Cmq anche settando da OE un indirizzo mittente falso ;)
Ma il problema insorge se la mail esiste ma il proprietario è un altro, no :eeh: :?: :!:
Ciao ciao, Niko
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 28/08/02 15:28

Ma il problema insorge se la mail esiste ma il proprietario è un altro, no


Sì, naturalmente. Di solito - in effetti - non notifico i From:, o i Reply-To:, ma solo chi ha la casella per l'unsubscribe (la dropbox).
Cmq, libero dovrebbe avvisare l'utente, e non troncare di brutto l'account.

PS: se qualcuno posta un link contenuto in uno spam passiamo alla fase 2: tirare a trasformare un sito web in un 404 page not found
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi BianConiglio » 28/08/02 16:10

http://www.whitecarseat.com/spc/

Preso da ....

Return-Path: <support4715v60@septicclean.com>
Received: from septicclean.com ([202.163.222.22]) by merlino.dido.net
(Post.Office MTA v3.5.3 release 223 ID# 0-55124U2500L250S0V35)
with SMTP id net for <iacopoxxne@dxido.net>;
Sun, 25 Aug 2002 08:58:25 +0200
Received: from 8.167.161.90 ([8.167.161.90]) by hd.ressort.net with NNFMP; 24 Aug 2002 23:42:09 -0200
Received: from [166.74.93.223] by mta85.snfc21.pibi.net with smtp; Sat, 24 Aug 2002 21:29:01 +0900
Reply-To: "SepticTank Help" <support4715v60@septicclean.com>
Message-ID: <016e71e71b8c$1688c7b6$5dc48cd8@vsfaqu>
From: "SepticTank Help" <support4715v60@septicclean.com>
To: Clogged Septic Tank Owner
Subject: Is your Septic Tank Clogged? 0778rPmE3-342tUjP5602XwMM0-573JI-30
Date: Sun, 25 Aug 2002 14:26:42 -0800
MiME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00E3_33D21D1B.B1131A27"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Importance: Normal


All'arrembaggio !!!!!
Ultima modifica di BianConiglio su 29/08/02 01:20, modificato 1 volte in totale.
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi zello » 28/08/02 16:53

Lascio a Nicola gli headers (consiglio: occhio, usa anche la blackhole list check e ricordati le regole #1 e #2)

Nota: il mio riferimento è sempre a samspade.org/t - non è obbligatorio usarlo, però è comodo.

1) controllare in blackhole list check. E' listato ovunque. Mi sa che sarà dura tirarlo giu', ma per il momento continuiamo.

2) trovare il rDNS (tramite lo strumento DNS)

Codice: Seleziona tutto
dns www.whitecarseat.com
www.whitecarseat.com resolves to 12.161.226.102


3) Vediamo un po' chi lo ospita, usando il whois (lo so già, at & t. Tutto il 12.x.x.x è di AT & T)
Codice: Seleziona tutto
AT&T WorldNet Services ATT (NET-12-0-0-0-1)
                                  12.0.0.0 - 12.255.255.255
WISE HOST INC. WISE-HOS46-226 (NET-12-161-226-0-1)
                                  12.161.226.0 - 12.161.226.255

AT&T ha subaffittato a WISE HOST. Bene, intanto collezioniamo un po' di abuse:
abuse*at*att*dot*net per at & t
abuse*at*wisehost*dot*net per wisehost.

4) e ora a caccia dei DNS (ci vuole pure qualcuno che traduce l'indirizzo in IP)
Per prima cosa, vediamo chi sono i DNS con una whois query sul nome di dominio

Codice: Seleziona tutto
whois -h magic whitecarseat.com
Amazing Solutions
   5548 West Maple
   Salt Lake City, Utah 84145
   US

   Domain servers in listed order:

   NS1.JMB-NETWORKS.COM          12.161.226.113               
   NS2.JMB-NETWORKS.COM          12.161.226.114               


Inutile cercare oltre, il DNS è fornito da WISE HOST (che è responsabile degli IP 12.161.226.xxx)
Non è sempre detto che sia così -> se non lo fosse, si fa una whois sui servers DNS (indirizzo IP), si trovano gli abuse e si notificano

Di solito faccio una cosa così
Codice: Seleziona tutto
Hi,
As shown in the body of the following unsolicited e-mail, you seem to be hosting a spammer (or providing DNS services) at IP xxx xxx xxx xxx (hostname ....)
Please handle your user according to your TOS/AUP.
Thank you,

--
zello

---UCE--- [e copio/incollo, come al solito, tutto quanto]

E se avessi mai pazienza/costanza mi registrerei i siti lartati e ogni tanto proverei a fare un ping, tanto per vedere se sono ancora su e se c'è ancora il DNS che punta a loro (più per capire chi sono coloro che leggono i lart e chi sono quelli che se ne fregano, per sapere quando vale la pena mandarli).

Chi è proprio bravo dovrebbe usare il webbrowser di samspade per accedere al sito, trovare i vari link (spesso la prima pagina è un redirect al sito principale dello spammer) e rifare tutto da capo. Ovviamente il tempo non è mai abbastanza...
Ciao.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 28/08/02 18:20

Codice: Seleziona tutto
Received: from [166.74.93.223] by mta85.snfc21.pibi.net with smtp; Sat, 24 Aug 2002 21:29:01 +0900

samspade.org/t IP whois di : 166.74.93.223

Codice: Seleziona tutto
Trying whois -h whois.arin.net 166.74.93.223
OrgName:    Kash 'n Karry Food Stores, Inc.
OrgID:      KNKFS
NetRange:   166.74.0.0 - 166.74.255.255
CIDR:       166.74.0.0/16
NetName:    KNK-NET
NetHandle:  NET-166-74-0-0-1
Parent:     NET-166-0-0-0-0
NetType:    Direct Assignment
Comment:   
RegDate:    1993-11-02
Updated:    1993-11-02
TechHandle: RSB2-ARIN
TechName:   Brand, Raymond
TechPhone:  +1-813-891-6084
TechEmail:  rsbx*at*trcinc*dot*com
# ARIN Whois database, last updated 2002-08-27 20:35
# Enter ? for additional hints on searching ARIN's Whois database.

L'email per l'abuse credo che sia rsbx*at*trcinc*dot*com
Saluti, Niko
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi BianConiglio » 29/08/02 01:23

Sito numero 2

http://sex-anonimus.IsCool.nl

Sezione fotoannunci e scambisti.

Sito vietato ai minori di 21 anni.

Ma non era 18 ?? :D

Da

Return-Path: <anonimo_sx@libero.it>
Received: from smtp5.libero.it (193.70.192.55) by ims3b.libero.it (6.5.028)
id 3D57743C0017EBD8 for miamail@libero.it; Tue, 20 Aug 2002 17:43:25 +0200
Message-ID: <3D57743C0017EBD8@ims3b.libero.it> (added by postmaster@libero.it)
Received: from [211.90.239.137] (211.90.239.137) by smtp5.libero.it (6.5.028)
id 3D51231101631960 for miamail@libero.it; Tue, 20 Aug 2002 17:43:25 +0200
From: Sex anonimus <anonimo_sx@libero.it>
To: Newsletter Sex - Anonimus
Cc:
Subject: [Sex - Anonimus]
Sender: Sex anonimus <anonimo_sx@libero.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Tue, 20 Aug 2002 17.43.21 +0200
X-Mailer: MIME-tools 5.503 (Entity 5.501)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi zello » 29/08/02 07:55

isCool.nl è un sito blindato di medianetgroup, il più grosso spammatore in Italia (io gli ho segato due o tre account su Tiscali, qualcuno un po' più bravo di me un tre o quattro siti su lycos). Non c'è NIENTE da fare: sono indirettamente ospitati anche da interbusiness e albacom, CHE SE NE FREGANO ALTAMENTE. E sono dei veri professionisti.
Credo che qualcuno abbia una qualche pendenza giuridica con loro. Di per me, mi lamento sugli accounts, e spero che gli venga anche la caghetta.
Da un qualche mese a questa parte si sono stancati di perdere accounts, e passano da proxy asiatici

Codice: Seleziona tutto
Osirus Relays List (OSIRUS): (2002/08/25) Open Proxy: http(8080)

Chiaro. Cmq, se vuoi far chiudere il proxy (e se ci riesci)

Codice: Seleziona tutto
descr:        China United Telecommunications Corporation
postmaster@public.bta.net.cn
postmaster@publicf.bta.net.cn
abuse@publicf.bta.net.cn
postmaster@bta.net.cn

Nota: da oggi boicotto i cinesi e i coreani, e smetto di sostituire l'@. Chi è causa del suo mal...


Per Nico: guarda gli headers uno per uno, senno' alle volte ti fregano.
Received: from septicclean.com ([202.163.222.22]) by merlino.dido.net

Guarda un po' qui:
Codice: Seleziona tutto
202.163.222.22 listed in OSIRUS(127.0.0.9) SPAMCOP(127.0.0.2)
Osirus Relays List (OSIRUS): (2002/08/28) Open Proxy: http(80)

E' un proxy. Tutto il resto dei Received: è finto, fasullo, aggiunto dallo spammer.
descr: ITN Online
descr: 3505 Summit One Tower Shaw Blvd
descr: Mandaluyong City
country: PH

Se vuoi lamentarti:
toby@itnweb.net
postmaster@itnweb.net
Dominio filippino - boicottati anche loro (nessuno così tonto da lasciare aperto un relay o un proxy merita un po' di pietà. Non sono giochini - e le cose da grandi bisogna farle quando si è capaci).
Mi stupirei anche solo se esistessero.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "The (anti-)spam world thread":


Chi c’è in linea

Visitano il forum: Nessuno e 16 ospiti

cron