Condividi:        

Spam IP assurdo: cosa e' ?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Spam IP assurdo: cosa e' ?

Postdi gamptw » 10/12/03 05:54

'giorno, spero sia il forum giusto.
Mi è arrivata una delle "solite" spam sull'account @tin.it addetto alla ricezione di questi msgs. fatto il check con Abuse e con Sam Spade non sono riuscito a ricavare un ragno dal buco. potreste darmi una zampa a chiarirmi le idee ?

A)
L'header del msg oriiginale (le XXXX sono ilmio indirizzo mail sul quale è giunto), il body è il solito "ingrandisci la foto". non lo allego per sicurezza, salvo me lo richiediate.
QUOTE
From - Wed Dec 10 05:17:11 2003
X-UIDL: 660
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
Return-Path: <k4hreuk@tim.it>
Received: from vsmtp8.tin.it (192.168.70.235) by ims3a.cp.tin.it (7.0.020)
id 3FC543F4012BC61D for XXXXX@tin.it; Wed, 10 Dec 2003 04:20:45 +0100
Received: from ntaich018004.aich.nt.adsl.ppp.infoweb.ne.jp (61.124.212.4) by vsmtp8.tin.it (7.0.019)
id 3FD274D900C766B8 for XXXXX@tin.it; Wed, 10 Dec 2003 04:20:45 +0100
Received: from [51.125.109.19] by ntaich018004.aich.nt.adsl.ppp.infoweb.ne.jp with ESMTP id <228848-55437>; Wed, 10 Dec 2003 07:13:15 +0400
Message-ID: <f710z-73$47--105o5-vra64uw8k@lmluon0>
From: "Forest Glover" <k4hreuk@tim.it>
Reply-To: "Forest Glover" <k4hreuk@tim.it>
To: <XXXXX@tin.it>
Subject: Re: Re: non trovo il tuo icq p rseiuhmvsglixl
Date: Wed, 10 Dec 03 07:13:15 GMT
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=".___38E8D4A_471.FA"
X-Priority: 3
X-MSMail-Priority: Normal

--.___38E8D4A_471.FA
UNQUOTE

B)
Il risultato di Abuse:
QUOTE
**********
Analisi di:
IP del mittente (o del mailserver che consegna):192.168.70.235
Ha detto di essere :vsmtp8.tin.it
Mailserver che riceve [by]:ims3a.cp.tin.it
Per l'e-mail: <XXXXX@tin.it>
192.168.70.235 è un indirizzo locale, non eseguo l'analisi
**********
Analisi di:
IP del mittente (o del mailserver che consegna):61.124.212.4
Ha detto di essere :ntaich018004.aich.nt.adsl.ppp.infoweb.ne.jp
Mailserver che riceve [by]:vsmtp8.tin.it
Per l'e-mail: <XXXXX@tin.it>
XXXX@tin.it non sembra avere MX validi
**********
Analisi di:
IP del mittente (o del mailserver che consegna):51.125.109.19
Ha detto di essere :
Mailserver che riceve [by]:ntaich018004.aich.nt.adsl.ppp.infoweb.ne.jp
Indice di autenticità della linea :100%
51.125.109.19 è l'ultimo ip valido, probabilmente lo spammer?
******************
****RISULTATI*****
******************
- 51.125.109.19([No rDns configured]): Spam source
Cerco contatti di abuse nella cache
Nessun risultato nella cache
OrgName: Department of Social Security of UK
OrgID: DSSU
Address: Naming and Addressing Authority c/o DITA
Address: Government Buildings - GZI
Address: Moorland Road
Address: Lytham St. Annes, Lancashire FY8 3ZZ
City:
StateProv:
PostalCode:
Country: GB

NetRange: 51.0.0.0 - 51.255.255.255
CIDR: 51.0.0.0/8
NetName: ITSANET
NetHandle: NET-51-0-0-0-1
Parent:
NetType: Direct Assignment
Comment:
RegDate: 1991-09-16
Updated: 1999-04-13

# ARIN WHOIS database, last updated 2003-12-09 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.

* Inizio estrazione dei contatti di abuse *
* Fine estrazione dei contatti di abuse *
UNQUOTE

C)
Risultati di Sam-Spade
QUOTE
12/10/03 05:29:50 IP block 51.125.109.19
Trying 51.125.109.19 at ARIN
Trying 51.125.109 at ARIN

OrgName: Department of Social Security of UK
OrgID: DSSU
Address: Naming and Addressing Authority c/o DITA
Address: Government Buildings - GZI
Address: Moorland Road
Address: Lytham St. Annes, Lancashire FY8 3ZZ
City:
StateProv:
PostalCode:
Country: GB

NetRange: 51.0.0.0 - 51.255.255.255
CIDR: 51.0.0.0/8
NetName: ITSANET
NetHandle: NET-51-0-0-0-1
Parent:
NetType: Direct Assignment
Comment:
RegDate: 1991-09-16
Updated: 1999-04-13

# ARIN WHOIS database, last updated 2003-12-09 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.
UNQUOTE

Ciao + grazie
Fubar!
gamptw
Utente Senior
 
Post: 283
Iscritto il: 21/02/02 15:35
Località: Milano

Sponsor
 

Postdi zello » 11/12/03 22:04

No, Abuse sbaglia in questo caso, l'ultimo received è falso, il penultimo è un IP di un pool dinamico in Giappone
Codice: Seleziona tutto
[zello@zello zello]$ whois 61.124.212.4
[ JPNIC & JPRS database provides information on network administration. Its   ]
[ use is restricted to network administration purposes. For further infor-    ]
[ mation, use 'whois -h whois.nic.ad.jp help'. To suppress Japanese output,   ]
[ add'/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'.       ]

Network Information:
a. [Network Number]             61.124.0.0-61.124.255.0
b. [Network Name]               INFOWEB
g. [Organization]               InfoWeb(Fujitsu Ltd.)
m. [Administrative Contact]     KH071JP
n. [Technical Contact]          KN6902JP
n. [Technical Contact]          TK13654JP
p. [Nameserver]                 ns1.hyper.web.ad.jp
p. [Nameserver]                 ns3.hyper.web.ad.jp

[zello@zello zello]$ whois -h whois.abuse.net web.ad.jp
abuse<at>web.ad.jp (for web.ad.jp)
postmaster<at>web.ad.jp (for web.ad.jp)

Non ho controllato
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44


Torna a Sicurezza e Privacy


Topic correlati a "Spam IP assurdo: cosa e' ?":


Chi c’è in linea

Visitano il forum: Nessuno e 44 ospiti