Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

The (anti-)spam world thread

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi zello » 23/08/02 08:56

Sex anonimus <anonimo_sx@libero.it>

Toh, questa mi è arrivata l'altro giorno. Oggi mi hanno mandato un prodotto che dovrebbe farmi crescere d'altezza. Un po' tardi, temo.

1) 200.199.140.130
2) 210.204.53.253

Qualcuno vuole provare a dirmi di chi sono e chi sono gli abuse, tanto per fare un po' di ginnastica? (Oppure lo faccio io entro domani)

PS: ho scritto il famoso tutorial pratico - ma non l'ho postato, perché troppo lungo per il forum. Ho inviato il tutto a wm, pare che gli sia piaciuto, decide lui cosa farne.

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Sponsor
 

Postdi piercing » 23/08/02 14:01

ho dato un occhiata solo al primo!!!
Codice: Seleziona tutto
Latin American and Caribbean IP address Regional Registry (NET-LACNIC-200)
   Chucarro 1110 ap. 5
   Montevideo, 11300
   UY

   Netname: LACNIC-200
   Netblock: 200.0.0.0 - 200.255.255.255
   Maintainer: LNIC

   Coordinator:
      Latin American and Caribbean IP address Regional Registry  (LACNIC-ARIN)  hostmaster*at*lacnic*point*net
      (+55) 11 5509-3525

   Domain System inverse mapping provided by:

   ARROWROOT.ARIN.NET      198.133.199.110
   BUCHU.ARIN.NET      192.100.59.110
   CHIA.ARIN.NET      192.5.6.32
   DILL.ARIN.NET      192.35.51.32
   NS.LACNIC.ORG      200.160.0.7
   NS.DNS.BR         143.108.23.2
   NS2.DNS.BR         200.19.119.99

   This IP address range has been transferred to LACNIC for administrative
   oversight. Please see http://www.lacnic.net/ for further details,
   or check the WHOIS server located at whois.lacnic.net


gli ho fatto un portscan sopra.... non credo ci fosse nient'altro da aprire! :D

ok zello... fino qui ci arrivo... (ci vuole poco... :D ) e poi che si fà?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi BianConiglio » 23/08/02 14:32

Il secondo.....

Codice: Seleziona tutto
inetnum:      210.204.0.0 - 210.207.255.255
netname:      KRNIC-KR
descr:        KRNIC
descr:        Korea Network Information Center
country:      KR
admin-c:      HM127-AP
tech-c:       HM127-AP
remarks:      ******************************************
remarks:      KRNIC is the National Internet Registry
remarks:      in Korea under APNIC. If you would like to
remarks:      find assignment information in detail
remarks:      please refer to the KRNIC Whois DB
remarks:      http://whois.nic.or.kr/english/index.html
remarks:      ******************************************
mnt-by:       APNIC-HM
mnt-lower:    MNT-KRNIC-AP
changed:      seungmin*at*nic.or.kr 19991112
changed:      hostmaster*at*apnic.net 20010606
status:       ALLOCATED PORTABLE
source:       APNIC

person:       Host Master
address:      11F, KTF B/D, 1321-11, Seocho2-Dong, Seocho-Gu,
address:      Seoul, Korea, 137-857
country:      KR
phone:        +82-2-2186-4500
fax-no:       +82-2-2186-4496
e-mail:       hostmaster*at*nic.or.kr
nic-hdl:      HM127-AP
mnt-by:       MNT-KRNIC-AP
changed:      hostmaster*at*nic.or.kr 20020507
source:       APNIC

inetnum:      210.204.53.192 - 210.204.53.255
netname:      JANGSUNGPUK-M-KR
descr:          Jangsung Puk Middle School
descr:          75-1 Sageo-Ri Pukyee-Myun Jangsung-Kun
descr:          CHONNAM
descr:          515-840
country:      KR
admin-c:      JK2220-KR
tech-c:       JK2221-KR
remarks:      This IP address space has been allocated to KRNIC.
remarks:      For more information, using KRNIC Whois Database
remarks:      whois -h whois.nic.or.kr
mnt-by:       MNT-KRNIC-AP
remarks:      This information has been partially mirrored by APNIC from
remarks:      KRNIC. To obtain more specific information, please use the
remarks:      KRNIC whois server at whois.krnic.net.
changed:      hostmaster*at*nic.or.kr 20020805
source:       KRNIC

person:       jinsook Kim
descr:          Jangsung Puk Middle School
descr:          75-1 Sageo-Ri Pukyee-Myun Jangsung-Kun
descr:          CHONNAM
descr:          515-840
country:      KR
phone:          +82-61-392-8004
e-mail:       kimjsk37*at*hanmail.net
nic-hdl:      JK2220-KR
mnt-by:       MNT-KRNIC-AP
remarks:      This information has been partially mirrored by APNIC from
remarks:      KRNIC. To obtain more specific information, please use the
remarks:      KRNIC whois server at whois.krnic.net.
changed:      hostmaster*at*nic.or.kr 20020805
source:       KRNIC

person:       jinsook Kim
descr:          Jangsung Puk Middle School
descr:          75-1 Sageo-Ri Pukyee-Myun Jangsung-Kun
descr:          CHONNAM
descr:          515-840
country:      KR
phone:          +82-61-392-8004
e-mail:       kimjsk37*at*hanmail.net
nic-hdl:      JK2221-KR
mnt-by:       MNT-KRNIC-AP
remarks:      This information has been partially mirrored by APNIC from
remarks:      KRNIC. To obtain more specific information, please use the
remarks:      KRNIC whois server at whois.krnic.net.
changed:      hostmaster*at*nic.or.kr 20020805
source:       KRNIC


Dovrebbe essere a SEUL ( fate un tracert......guardate che bel giro fanno i dati ;) )

Linux con su apache configurato in pessimo modo....

PROBLEMINO !! E' un proxy......
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi zello » 23/08/02 14:47

piercing, il primo è tecnicamente un rinvio: ti dice che il db responsabile per l'IP è su lacnic. Bisogna che fai un whois su whois.lacnic.net

Codice: Seleziona tutto
remarks:     These addresses have been further assigned to Brazilian users.
remarks:     Contact information can be found at the WHOIS server located
remarks:     at whois.registro.br and at http://whois.nic.br

...che ti risponde di provare con whois.nic.br (o whois.registro.br). Per inciso, notavo oggi che gli IP da 200.128.0.0 a 200.255.255.255 sono tutti di responsabilità brasiliana.
Codice: Seleziona tutto
inetnum:     200.199.128/18
aut-num:     AS7738
abuse-c:     CGR13
owner:       Tele Norte Leste Participações S.A.
ownerid:     002.558.134/0001-58
responsible: Marcello Lugon
person:      Centro de Gerencia de Rede TELEMAR
e-mail:      abuse*at*TELEMAR.NET.BR

Uh, il responsabile ha un bel nome ;) . Cmq, tombola.

La seconda:
- ci dice di chiedere a whois.krnic.net per più informazioni. Proviamoci un po'...
Metto solo la parte rilevante
Codice: Seleziona tutto
If the above contacts are not rechable, please see the following ISP contacts
for relevant information or network abuse complaints.

[ ISP IP Admin Contact Information ]
Name               : JUHYUN KIM
Phone              : +82-2-710-1416
Fax                : +82-2-702-4233
E-Mail             : abuse*at*pubnet*dot*ne*dot*kr


Come ha detto BC, proxy iperabusato (ma ce n'è uno in Corea che legge il manuale? Cavolo, è anche una scuola media... Ma studiate, cribbio. Già non mi stavano simpaticissimi dopo i mondiali...)
Beh, ci si può sempre lamentare.

Qualcuno parla bene il coreano?

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Mikizo » 23/08/02 14:56

zello ha scritto:Bisogna che fai un whois su whois.lacnic.net
Ecco, appunto, ci stavo provando da stamattina ma non ho capito COME.
Ok, sono un po' imbranato... :oops:

Nel frattempo mi è arrivata una mail piuttosto preoccupante... non sembra spam, sembra qualcosa di fin troppo serio mandata a me per sbaglio (se è spam è moooolto sofisticato).
Eccovi l'header

Return-Path: <tkoladamz@maktoob.com>
Received: from smtp4.libero.it (193.70.192.54) by ims7a.libero.it (6.5.025)
id 3D2AED8800D08B4C for miamail@inwind.it; Fri, 23 Aug 2002 08:14:39 +0200
Message-ID: <3D2AED8800D08B4C@ims7a.libero.it> (added by postmaster@libero.it)
Received: from maktoob.com (66.110.31.208) by smtp4.libero.it (6.5.028)
id 3D4E47630263B726 for miamail@inwind.it; Fri, 23 Aug 2002 08:14:39 +0200
From: "Dr Kola Adams" <tkoladamz@maktoob.com>
To: <miamail@inwind.it>
Subject: Business Proposal (Urgent)
Sender: "Dr Kola Adams" <tkoladamz@maktoob.com>
Mime-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Date: Fri, 23 Aug 2002 07:13:51 -0700
Reply-To: "Dr Kola Adams" <koladamz@maktoob.com>
Content-Transfer-Encoding: 8bit
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Nicola » 23/08/02 15:19

Mikizo anche a me è arrivata una mail simile alla tua:
Codice: Seleziona tutto
Received: (qmail 17647 invoked from network); 18 Aug 2002 22:22:24 -0000
Received: from unknown (HELO buddy.siteprotect.com) (64.26.0.87)
  by mail.supereva.it with SMTP; 18 Aug 2002 22:22:24 -0000
Received: from yahoo.com ([66.110.31.209])
   by buddy.siteprotect.com (8.9.3/8.9.3) with SMTP id RAA29324
   for <mio@indirizzo.ir>; Sun, 18 Aug 2002 17:22:10 -0500
Message-Id: <200208182222.RAA29324@buddy.siteprotect.com>
From: "AB Sanni" <us_bawa@yahoo.com>
To: <mio@indirizzo.it>
Subject: Business Proposal (Urgent)
Sender: "AB Sanni" <us_bawa@yahoo.com>
Mime-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Date: Sun, 18 Aug 2002 23:21:58 -0700
Reply-To: "AB Sanni" <s_bawa@yahoo.com>
Content-Transfer-Encoding: 8bit
Sempre al forward di !pc-facile...
Come direbbe zello: si yahoo.com mio nonno...
whois -h 66.110.31.209
whois -h whois.arin.net 66.110.31.209
whois -h whois.arin.net 66.110.31.209
Teleglobe Inc. (NETBLK-TELEGLOBE-2BLK) TELEGLOBE-2BLK
66.110.0.0 - 66.110.127.255
21ST CENTURY TECHNOLOGIES LIMITED (NETBLK-21CTLCOM-1) 21CTLCOM-1
66.110.31.0 - 66.110.31.255

To single out one record, look it up with "!xxx", where xxx is the
handle, shown in parenthesis following the name, which comes first.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.

Non ho trovato niente ... una cosa.. come faccio a capire che whois devo scegliere :?:
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi BianConiglio » 23/08/02 15:29

Mikizio ... Subject: Business Proposal (Urgent) ....

3 parole magiche spam

# Business
# Popostal
# Urgent

:D
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Mikizo » 23/08/02 15:35

Nicola ha scritto:come faccio a capire che whois devo scegliere :?:
Mah, io vado su samspade e inserisco l'IP nell'ultimo campo in fondo (IP whois "generico").
Per es, in questo caso, 66.110.31.209.
La risposta alla ricerca è

Trying whois -h whois.arin.net 66.110.31.209
Teleglobe Inc. (NETBLK-TELEGLOBE-2BLK) TELEGLOBE-2BLK
66.110.0.0 - 66.110.127.255
21ST CENTURY TECHNOLOGIES LIMITED (NETBLK-21CTLCOM-1) 21CTLCOM-1
66.110.31.0 - 66.110.31.255

To single out one record, look it up with "!xxx", where xxx is the
handle, shown in parenthesis following the name, which comes first.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.

La risposta alla tua domanda, in questo caso, è nell'ultima riga (rs.internic.net , e whois.nic.mil)
Il problema, per quanto mi riguarda, è che NON RIESCO A FARLO!
Non ho capito dove devo inserire l'informazione...
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi zello » 23/08/02 16:08

Mikizo, è spam. Dallo stesso provider arriva un sacco di *** nigeriana ("sono il figlio del ex-presidente: se mi dai una mano ti do una parte dei miei gazillioni di dollari che possiedo"). Se hai dei dubbi, fai una ricerca su groups.google.com, gruppo news.admin.net-abuse.sightings, dove sono archiviate le copie dello spam, a vedere se qualcun'altro ha pensato che fosse spam (teoricamente sarebbe corretto mandarne una anche a questo newsgroup, ma la formattazione è piuttosto particolare, e per il momento non ho trovato il modo di automatizzare la procedura).

E - per inciso - se noti lo spam a Nicola è arrivato praticamente dall'IP dopo (66.110.31.208 il tuo, 66.110.31.209 quello di Nic)!

Ah, la definizione è la solita:
- è non sollecitato?
- è inviato in massa?
Bene, allora è spam.


Codice: Seleziona tutto
Trying whois -h whois.arin.net 66.110.31.208
Teleglobe Inc. (NETBLK-TELEGLOBE-2BLK) TELEGLOBE-2BLK
66.110.0.0 - 66.110.127.255
21ST CENTURY TECHNOLOGIES LIMITED (NETBLK-21CTLCOM-1) 21CTLCOM-1
66.110.31.0 - 66.110.31.255


No, in questo caso va bene arin.net. Solo che l'IP è registrato due volte:
- l'IP appartiene ad un gruppo assegnato a Teleglobe (da 66.110.0.0 a 66.110.127.255)
- Teleglobe ha affittato parte di questo spazio a 21st century tech (spammer professionista, per inciso. Terzo lart in tre giorni per me).
Per identificarne uno - se sei su samspade - basta che clicchi sul netblock name (NETBLK-21CTLCOM-1, per esempio)
Se usi whois a riga di comando (per chi ha linux, per dirne una) basta rifare la query in questo modo:
whois -h whois.arin.net !NETBLK-21CTLCOM-1
E poi solita storia a http://www.abuse.net per trovare i contatti. Scrivete solo all'upstream (in questo caso Teleglobe), 21ctl sono gli spammers stessi.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Triumph Of Steel » 23/08/02 16:16

[Proposta per Zello]
Senti... se hai tempo (e voglia) xchè non scrivi un semplice programmino che fa tutte queste cose che dovremmo fare noi a mano??? ;)
ad esempio, basta che noi gli diamo un IP, e lui fa un whois, ci restituisce i valori, ed facciamo un ulteriore whois.. e via dicendo...

no?

praticamente portare il sito di samspade in una finestra Windows
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi zello » 23/08/02 16:22

Non ci crederai, ma devo cominciare in questi giorni un progetto del genere con il wm. Nella pratica, si tratta di fare una sorta di plugin per OE che sia in grado di pescare gli abuse e di postare tutti quanti i lart automaticamente.
Solo che, per non intasare la rete di lart errati, ha bisogno di essere progettato più che attentamente.
Nel frattempo - dovendo fare esperimenti - probabilmente creerò sottoprodotti a linea di comando (o a finestra windows).

TOS, se mi dai una mano il whois "automatizzato" sarà la prima cosa che esce. (Nel frattempo, ci sono vari programmini che portano in locale gli stessi strumenti di SamSpade, meno la blackhole list check, che - a mio parere - è una trovata geniale)
Che linguaggi, pliz?

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Triumph Of Steel » 23/08/02 16:53

zello ha scritto:Che linguaggi, pliz?


quelli che vuoi. io di programmazione non ci capisco niente...
ti posso fare al max da Beta Tester!!
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi dado » 23/08/02 20:04

L'ultima che mi è arrivata è strana: una semplice immagine. Mah...

Return-Path: <lorella@lorellatrevani.org>
Received: from smtp6.libero.it (193.70.192.59) by ims4c.libero.it (6.5.028)
id 3D64B46D000550C7 for io@libero.it; Fri, 23 Aug 2002 16:33:01 +0200
Message-ID: <3D64B46D000550C7@ims4c.libero.it> (added by postmaster@libero.it)
Received: from chat.ru (154.15.53.85) by smtp6.libero.it (6.5.028)
id 3D63CC7E00443C06; Fri, 23 Aug 2002 16:33:01 +0200
From: Lorella Trevani<lorella@lorellatrevani.org>
Subject: Pecorama (Vignetta)
Reply-To: lorella@lorellatrevani.org
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 4.72.3110.5
Mime-Version: 1.0
Content-Type: multipart/related;
boundary="= Multipart Boundary 0823021632"
Date: Fri, 23 Aug 2002 16:32:45 +0200

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi BianConiglio » 23/08/02 21:42

postmaster@libero.it ne sta spedendo a centinaia....ne ho ricevute una decina da lui...e l'ho sempre segnalato...ma sembra che riapra la casella ogni volta che gliela chiudono.....non so che dire...oppure quelli di libero ( ma non credo ) parlano ma non fanno...

non so che dire !
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi dado » 24/08/02 09:01

BianConiglio ha scritto: oppure quelli di libero ( ma non credo ) parlano ma non fanno...

non so che dire !


Secondo me invece è proprio così, BianCo! :evil:

Altra chicca, manco a dirlo sempre SEX!!! :-?
Tra l'altro non c'è neppure il mio indirizzo nei dettagli dell'email. :?: :!:

Return-Path: <013230@303201.com>
Received: from internet.cpaimss.com.mx (200.4.101.242) by mail.tiscali.it (6.5.026)
id 3D52152100429720; Sat, 24 Aug 2002 07:55:59 +0200
Received: from ME ([200.242.32.203]) by internet.cpaimss.com.mx (8.8.5/SCO5) with SMTP id AAA04263; Sat, 24 Aug 2002 00:29:28 -0500 (CDT)
Date: Sat, 24 Aug 2002 00:29:28 -0500 (CDT)
From: 013230@303201.com
Message-Id: <200208240529.AAA04263@internet.cpaimss.com.mx>
Subject: <<< SESSO,VERI ANNUNCI,INCONTRI >>> RAPIDO E SICURO!!!
X-Priority: 1 (Highest)
Reply-To: youremail@email.com
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#MYBOUNDARY#"

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Nicola » 24/08/02 10:57

Allora
il mittente è uno che all'helo si è chiamato ME o il suo PC si chiama ME.
Il suo IP è 200.242.32.203
Codice: Seleziona tutto
Trying whois -h whois.arin.net 200.242.32.203
Latin American and Caribbean IP address Regional Registry (NET-LACNIC-200)
   Chucarro 1110 ap. 5
   Montevideo, 11300
   UY

   Netname: LACNIC-200
   Netblock: 200.0.0.0 - 200.255.255.255
   Maintainer: LNIC

   Coordinator:
      Latin American and Caribbean IP address Regional Registry  (LACNIC-ARIN)  hostmaster*at*lacnic*dot*net
      (+55) 11 5509-3525

   Domain System inverse mapping provided by:

   ARROWROOT.ARIN.NET 198.133.199.110
   BUCHU.ARIN.NET 192.100.59.110
   CHIA.ARIN.NET 192.5.6.32
   DILL.ARIN.NET 192.35.51.32
   NS.LACNIC.ORG 200.160.0.7
   NS.DNS.BR 143.108.23.2
   NS2.DNS.BR 200.19.119.99

   This IP address range has been transferred to LACNIC for administrative
   oversight. Please see http://www.lacnic.net/ for further details,
   or check the WHOIS server located at whois.lacnic.net

   Record last updated on 16-Aug-2002.
   Database last updated on  23-Aug-2002 16:56:03 EDT.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.

Sono così andato su http://www.lacnic.net/ e ho cercato nell'HomePage l'IP... Risultato:
Codice: Seleziona tutto
% Copyright LACNIC lacnic.net
%  The data below is provided for information purposes
%  and to assist persons in obtaining information about or
%  related to AS and IP numbers registrations
%  By submitting a whois query, you agree to use this data
%  only for lawful purposes.
%  2002-08-24 06:55:45 (BRT -03:00)

inetnum:     200.128/9
status:      allocated
owner:       Comite Gestor da Internet no Brasil
ownerid:     BR-CGIN-LACNIC
address:     R. Pio XI, 1500
address:     Sao Paulo, SP 05468-901
country:     BR
owner-c:     NF-ORG-ARIN
inetrev:     200.128/9
nserver:     NS.DNS.BR
nsstat:      20020823 AA
nslastaa:    20020823
nserver:     NS1.DNS.BR
nsstat:      20020823 AA
nslastaa:    20020823
nserver:     NS2.DNS.BR
nsstat:      20020823 AA
nslastaa:    20020823
remarks:     These addresses have been further assigned to Brazilian users.
remarks:     Contact information can be found at the WHOIS server located
remarks:     at whois.registro.br and at http://whois.nic.br
created:     19950104
changed:     20010830
source:      ARIN-LACNIC-TRANSITION

nic-hdl:     NF-ORG-ARIN
person:      Registro.br
e-mail:      blkadm*at*NIC*dot*BR
address:     R. Pio XI, 1500
address:     Sao Paulo, 05468-901
country:     BR
phone:       +55 19 9119-0304
source:      ARIN-LACNIC-TRANSITION

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.


Quindi l'email è blkadm*at*NIC*dot*BR :?:
----
Ciao
P.S.: Zello modifica la tua e-mail sul primo post!! Sennò uno guarda il post così vede subito e non gli funge la tua e-mail !
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 24/08/02 14:13

x dado:
Lorella Trevani è una long time spammer italiana - ne parlano oggi proprio su it.news.net-abuse, pare che si sia messa ad usare dei provider esteri. Comunque guardiamo un po' di headers
Received: from smtp6.libero.it (193.70.192.59) by ims4c.libero.it (6.5.028)
Received: from chat.ru (154.15.53.85) by smtp6.libero.it (6.5.028)
id 3D63CC7E00443C06; Fri, 23 Aug 2002 16:33:01 +0200


Ok, 154.15.53.85 è l'origine
Codice: Seleziona tutto
Performance Systems International (NET-PSINET-B2-15)
   165 Jordan Road
   Troy, NY 12180
   US

Con abuse su
postmaster*at*psi*dot*.com
abuse*at*cogentco*dot*com
[spudoratamente copiato da it.news.net-abuse...]

Per BC:
occhio, postmaster*at*libero*dot*it è un'aggiunta del mailserver, e non è coinvolto nello spamming. Anzi, direi che ci sono probabilità che abuse*at*libero*dot*it sia un suo alias...

Per Nico
Tutto ok, sei stato perfetto, salvo che l'ultimo non è il reale mittente, è l'ennesimo redirect a whois.registro.br (qualcosa mi dice che sarà embratel...)
[Nota operativa: non seguire le pagine dei vari registri, o diventi matto. fai tutto da samspade, guadagni tempo - basta utilizzare lo strumento whois sotto all'rwhois, quello che ti lascia specificare presso chi vuoi fare la query (specificando whois.lacnic.net). Adesso lo faccio con whois.registro.br
Codice: Seleziona tutto
owner:       EMBRATEL-EMPRESA BRASILEIRA DE TELECOMUNICAÇÕES SA
ownerid:     033.530.486/0001-29
responsible: Gerência do backbone Internet da EMBRATE
e-mail:      abuse*at*EMBRATEL*dot*NET*dot*BR
remarks:     Security issues should also be addressed to
remarks:     nbso*at*nic*dot*br


PS: quelli di libero non sono malissimo, credetemi.

E infine, una buona notizia da escalate_x*at*hotmail*dot*com:
Thank you for reporting this to MSN Hotmail.

I appreciate your bringing this matter to our attention. I have closed the
account you reported in accordance with the Hotmail Terms of Use (TOU). It
is a strict violation of the TOU for our members to send objectionable
material of any kind or nature using our service.

Bye bye dropbox. Sapete, mi aveva chiesto se volevo comprare una ventina di milioni di indirizzi e-mail da spammare.

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 24/08/02 15:08

x zello e/o x tutti : non sarebbe carino mettere un esempio di e-mail abuse ? magari con delle XXXX al posto delle generalità.. e magari in inglese e italiano... ;)
--
Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Mikizo » 24/08/02 19:28

Allora... comincio a riceverne troppo e non ne posso più.
L'ultimo è questo (della serie che in fondo dicono "questo non è SPAM"... brrr come li odio!)
Return-Path: <hblmita@lycos.it>
Received: from smtp1.libero.it (193.70.192.51) by ims7a.libero.it (6.5.025)
id 3D2AED8800D5C0B4; Sat, 24 Aug 2002 17:05:50 +0200
Message-ID: <3D2AED8800D5C0B4*at*ims7a.libero.it> (added by postmaster*at*libero.it)
Received: from raffa (62.211.132.42) by smtp1.libero.it (6.5.028)
id 3D4E45CE0054D708; Sat, 24 Aug 2002 17:05:45 +0200
From: Promo <hblmita@lycos.it>
Reply-To: hblmita@lycos.it
Subject: Promo......Ben tornati!!!!
Date: Sat, 24 Aug 2002 17:05:37 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="926a5d1e-3910-4846-855c-03c3c517d911"

Allora zello vediamo un po' se me la cavo.
Faccio un whois su 193.70.192.51
Risultato:
Trying whois -h whois.ripe.net -V151.26.77.102 193.70.192.51
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-service ... right.html

inetnum: 193.70.192.0 - 193.70.195.255
netname: HOUSING-NET-0
descr: Infostrada Housing
country: IT
admin-c: IIS1-RIPE
tech-c: IIS1-RIPE
status: ASSIGNED PA
mnt-by: AS1267-MNT
mnt-routes: AS1267-MNT
changed: hostmaster*at*iunet.it 19940201
changed: hostmaster*at*iunet.it 19980608
changed: hostmaster*at*iunet.it 19990316
changed: hostmaster*at*iunet.it 20000111
changed: hostmaster*at*iunet.it 20011003
source: RIPE

route: 193.70.0.0/16
descr: IT-EUNET-193-76
origin: AS1267
cross-mnt: AS1267-MNT
mnt-lower: AS1267-MNT
mnt-routes: AS1267-MNT
mnt-by: AS1267-MNT
changed: hostmaster*at*iunet.it 19950711
changed: hostmaster*at*iunet.it 19960322
changed: hostmaster*at*iunet.it 20011009
source: RIPE

person: Infostrada Internet Staff
address: Infostrada SpA
address: Via Lorenteggio 257
address: I-20152 Milano
address: Italy
phone: +39 02 413311
e-mail: staff*at*iunet.it
nic-hdl: IIS1-RIPE
mnt-by: AS1267-MNT
changed: hostmaster*at*iunet.it 20000731
source: RIPE
Uhmmm... che vuol dire? che è infostrada?
Provo anche con l'altro IP presente nell'header, 62.211.132.42
Risultato:
Trying whois -h whois.ripe.net -V151.26.77.102 62.211.132.42
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-service ... right.html

inetnum: 62.211.128.0 - 62.211.255.255
netname: Telecom-Adsl
descr: Telecom Italia
descr: Accesso ADSL BBB
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse-bbb*at*telecomitalia.it
notify: ripe-staff*at*telecomitalia.it
mnt-by: TIWS-MNT
changed: net_ti*at*telecomitalia.it 20020801
source: RIPE

route: 62.211.0.0/16
descr: INTERBUSINESS
origin: AS3269
remarks: Please report spam/abuse notification to abuse*at*tin.it
notify: network*at*cgi.interbusiness.it
mnt-by: INTERB-MNT
changed: network*at*cgi.interbusiness.it 20011029
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff*at*telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff*at*telecomitalia.it
changed: net_ti*at*telecomitalia.it 20001019
source: RIPE
Adsl di Telecom Italia... mah!!
zello illuminami!
:idea: :idea: :idea:

(scusate il post lunghissimo)
Ultima modifica di Mikizo su 24/08/02 20:49, modificato 2 volte in totale.
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Nicola » 24/08/02 19:42

x Mikizo : Allora devi vedere il Received + in basso xchè man man che si scrivono si abbassa quello precedente.
Nel tuo caso:
Mikizo ha scritto:Received: from raffa (62.211.132.42) by smtp1.libero.it (6.5.028)

devi vedere cosa c'è dopo i due punti.
raffa è il nome che si è data all'HELO tramite Telnet o il nome del computer se ha usato un programma di posta elettronica. Quello dopo il by e il nome del primo Mail-Server quindi non devi analizzarlo
Il suo IP è 62.211.132.42.. Il risultato lhai postato te..
l'email per l'abuse è abuse-bbb*at*telecomitalia*dot*it

Cmq modifica le e-mail in nome*at*dominio*dot*it senno arriva SPAM pure a loro :eeh: :!:

Ciao, Nicola
p.s.: correggimi zello se sbaglio :P :P
p.p.s.: ti è arrivato su un e-mail del gruppo wind/libero giusto ? Xchè credo che il mail-server di wind/libero non permetta ad un utente non libero di mandare e-mail al di fuori del loro dominio .. Quindi non dovrebbe essere open-relay vero zello ???
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "The (anti-)spam world thread":

email e spam
Autore: Smilecrown
Forum: Sicurezza e Privacy
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti