Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

...la mia prima analisi antispam..........

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

...la mia prima analisi antispam..........

Postdi ciaba » 12/05/03 13:31

....ciao a tutti..sono nuovo del forum........Prima di postare mi sono letto un pò di pagine forum(+la guida di zello ...che mi sembra "leggermente" competente nel campo :) ).......e visto che "ivi" circolano diversi "cervelli".....ho deciso di affidarmi a voi per i ......"primi passi":D
....Sò che ci sono dei software appositi per l'analisi dei Thread...ma credo che capire davvero i processi dinamici sia fondamentale..almeno all'inizio.
....questa è mail


Return-Path: <davi690mw@hotmail.com>
Received: from smtp6*cp*tin*it (192.168.70.232) by ims3c*cp*tin*it (6.5.034)
id 3E9F3CC300A73754; Sat, 10 May 2003 21:42:22 +0200
Received: from 200-168-130-57.dsl.telesp.net.br (200.168.130.57) by smtp6*cp*tin*it (6.7.016)
id 3EACFC8900D8A95C; Sat, 10 May 2003 21:42:19 +0200
Received: from 4jc.gutih0m.org ([154.6.187.105]) by 200-168-130-57.dsl.telesp.net.br with ESMTP id DE94BC6C2B2; Fri, 09 May 2003 18:42:59 -0200
Message-ID: <0686$xfp-1w$q-ni6-$74w9$i@ydktjumv>
From: "Beatriz Sheets" <davi690mw@hotmail.com>
To: <jvbmcg**tin*it>, <jvtang**tin*it>, <jvufe**tin*it>, <jwbur**tin*it>, <jwcica**tin**it>, <jwqaba**tin*it>, <jwxbmoc**tin*it>, <jxand**tin*it>
Subject: Here is to your Health !
Date: Fri, 09 May 03 18:42:59 GMT
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="2._86_2445_73_"

Allora ho analizzato la prima riga che rappresenta un Double-hop di tin*it,
e dato che é una costante delle mie mail la considero praticamente "sicura".

La seconda riga presenta l'IP 200.168.130.57..ho fatto una ricerca whois-magic e ho trovato un rimando a LACNIC che mi ha dato questo risultato:

% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2003-05-12 09:25:49 (BRT -03:00)

inetnum: 200.128/9
status: allocated
owner: Comite Gestor da Internet no Brasil
ownerid: BR-CGIN-LACNIC
responsible: Frederico A C Neves
address: Av. das Nações Unidas, 11541, 7° andar
address: 04578-000 - São Paulo - SP
country: BR
phone: +55 11 9119-0304 []
owner-c: CGB
tech-c: CGB
inetrev: 200.128/9
nserver: NS.DNS.BR
nsstat: 20030508 AA
nslastaa: 20030508
nserver: NS1.DNS.BR
nsstat: 20030508 AA
nslastaa: 20030508
nserver: NS2.DNS.BR
nsstat: 20030508 AA
nslastaa: 20030508
remarks: These addresses have been further assigned to Brazilian users.
remarks: Contact information can be found at the WHOIS server located
remarks: at whois.registro.br and at http://whois.nic.br
created: 19950104
changed: 20020902

nic-hdl: CGB
person: Comite Gestor da Internet no Brasil
e-mail: blkadm@NIC.BR
address: Av. das Nações Unidas, 11541, 7° andar
address: 04578-000 - São Paulo - SP
country: BR
phone: +55 19 9119-0304 []
created: 20020902
changed: 20020902

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.

Ora che faccio.cioé, e lui che dovrei "colpire" oppure dato che quell'ip é un Open proxy mi devo fermare prima.......sono in un labirinto ........aiutoooo :P
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Sponsor
 

Postdi Nicola » 12/05/03 14:36

Codice: Seleziona tutto
Received: from 4jc.gutih0m.org ([154.6.187.105]) by 200-168-130-57.dsl.telesp.net.br with ESMTP id DE94BC6C2B2; Fri, 09 May 2003 18:42:59 -0200


questa è l'ultima riga, primo passaggio.

WHOIS:

Codice: Seleziona tutto
OrgAbuseHandle: COGEN-ARIN
OrgAbuseName:   Cogent Abuse
OrgAbusePhone:  +1-877-875-4311
OrgAbuseEmail:  abuse<at>cogentco.com


adesso controllo tramite il tool http://samspade.org/t :

http://samspade.org/t/rbl?a=154.6.187.105&r=on

non è presente nelle principali liste, direi quando che è l'originale.

200-168-130-57.dsl.telesp.net.br però non risponde momentaneamente alla porta 25 però è un Open Proxy listato in:

Codice: Seleziona tutto
*  dnsbl.njabl.org

*  opm.blitzed.org

*  proxies.relays.monkeys.com

*  relays.osirusoft.com


Ciao :)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi ciaba » 12/05/03 15:45

:lol: ....intanto grazie per la risposta.....ti chiedo però l'approfondimento di alcuni passaggi........ :roll:
....allora l'IP 154.6.187.105 l'avevo scartato perchè avevo letto nelle vostre discussioni che quando si incontra un Open Proxy tutto quello che viene dopo é fasullo....ed é stato messo per forviare le ricerche....giusto??

A questo punto ho un IP 200.168.130.57 linkato in varie blackhole list......ma mi sfugge una cosa......il legame tra .dsl.telesp.net.br e l'IP(non sgranare gli occhi devo imparare :D ),.........e il modo per procurarmi un indirizzo utile per spedire le mail di avviso.
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Nicola » 12/05/03 16:37

il .br è un open-proxy non l'altro IP ;)

si cmq puoi vederlo dal reverse DNS l'abuse address o sennò facendo un whois
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi ciaba » 13/05/03 05:31

...........mah....sono arrivato quà.......ma ho preso la strada giusta.......e sono questi gli indirizzi a cui spedire????
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi ciaba » 13/05/03 05:31

domínio: TELESP.NET.BR
entidade: TELECOMUNICACÕES DE SAO PAULO S/A - TELESP
documento: 002.558.157/0001-62
responsável: Paulo Arthur Juliano
endereço: Av. Paulista, 2300, 19º andar
endereço: 01310-300 - Sao Paulo - SP
telefone: (011) 4689-3599 []
ID entidade: PAJ93
ID admin: MAP728
ID técnico: MAP728
ID cobrança: MAP728
servidor DNS: DNSQIPBR1.TELESP.NET.BR 200.204.0.9
status DNS: 09/05/2003 AA
último AA: 09/05/2003
servidor DNS: DNSQIPBR2.TELESP.NET.BR 200.204.0.139
status DNS: 09/05/2003 AA
último AA: 09/05/2003
criado: 01/01/1996
atualizado: 21/08/1998
alterado: 06/05/2003
status: publicado

ID: MAP728
nome: Marilda Amelia Martins de Paula
e-mail: mamartin@TELEFONICAEMPRESAS.NET.BR
endereço: Av. Brig. Faria Lima, 1188, 5 andar
endereço: 01451-001 - São Paulo - SP
telefone: (11) 3038-7198 []
criado: 05/06/2001
alterado: 19/12/2002

ID: PAJ93
nome: Paulo Arthur Juliano
e-mail: gestaoip@TELESP.COM.BR
endereço: Av. Paulista, 2300, 19o. andar
endereço: 01310-300 - São Paulo - SP
telefone: (11) 3329-5132 []
criado: 25/10/2002
alterado: 03/02/2003
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Nicola » 13/05/03 11:53

Con una query ad abuse.net ho trovato

Codice: Seleziona tutto
gestaoip<at>TELESP.COM.BR

mail-abuse<at>nic.br

mamartin<at>TELEFONICAEMPRESAS.NET.BR

security<at>TELESP.NET.BR




Ciao

P.S.: Quando indichi indirizzi emails non dello spammer leva sempre la chiocciola e magari anche il punto magari rimpiazzandoli con *at* e *dot*.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi ciaba » 14/05/03 06:48

........scusami per le "chiocciole" scappate :D ................ma nn é possibile modificare i post?? :-? :mmmh:
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi ciaba » 14/05/03 07:31

..ho spedito le mail....e mi é tornata indietro questa.......vogliono un'analisi??

We requested analysis and arrangement about the occurence.

IP Addresses Management
Telecomunicações de São Paulo S/A

Solicitamos análise e providências sobre a ocorrência.

Gestão Endereços IP
Telecomunicações de São Paulo S/A

In response to:
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Frengo78 » 14/05/03 08:29

Non aspettarti che ti ascoltino in brasile. Notificare qualcosa li è inutile
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi ciaba » 14/05/03 09:37

..........quindi??.....devo mettere un filtro?? :o
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Frengo78 » 14/05/03 10:31

Si se fossi in te blacklisterei tutto il brasile e tre quarti di continente asiatico
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Nicola » 14/05/03 12:48

prova ad incollargli tutta l'analisi fatta e se non rispondono ancora vai di blacklist come consigliato da Frengo.

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Frengo78 » 14/05/03 12:55

telefonica impreza avra ricevuto milioni di lart miei e non li ha mai considerati
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi pjfry » 14/05/03 13:15

ciaba ha scritto:..ho spedito le mail....e mi é tornata indietro questa.......vogliono un'analisi??

We requested analysis and arrangement about the occurence.

significa che hanno richiesto l'analisi a qualcuno , presumo,ma di certo non a te :D
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi ciaba » 14/05/03 14:43

........ma scusate,.......se una compagnia come la Telefonica Impreza(bella grossa anche di conto in banca)..........ha un problema con diversi utenti e nn lo risolve in tempi umani, non commette reato...........mettendosi insieme contro il "gigante" non li si può perseguire legalmente?? .....come cittadini della Cee nn siamo parac@lati in nessun modo??.....
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Frengo78 » 14/05/03 15:47

Innanzitutto mi sono sbagliato. Si chiama telefonica empresas e non telefonica impreza. L'impreza è solo un auto da rally per quel che ne so. :D

In brasile e in altri paesi non costituisce reato evidentemente lo spam. Impossibile paracularsi
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi zello » 14/05/03 21:07

Intanto, scusatemi per il ritardo, sono un po' impegnato ultimamente...

Alla rinfusa:
1) quello che segue un open proxy va assunto come falso, e aggiunto dallo spammer. Nel caso specifico, o il proxy si comportava anche da relay, e cogentco è l'origine, oppure gli spammers hanno imparato a falsificare gli headers in modo quasi credibile. Tendo per la prima, ma non c'è modo di esserne sicuri (probabilmente è wingate, comunque).
2) telesp.net.br? Abuse Desk? HAHAHAHAHAHAHAHA. La società è grossa, ma come quasi tutte le telco (esempio telecom italia, telefonica.es, france telecom-wanadoo, etc etc) ha come politica sfruttare il suo monopolio per evitare blacklistaggi totali
3) se puoi, inserisci tra i filtri brazil.blackholes.us, e dimenticati del Brasile. Anche se ME - 200.242.32.xxx - è un po' che non mi dà più fastidio.
4) allo stato attuale non esiste una via legale per fare in modo che le grosse compagnie si comportino diversamente. Tuttavia, massicci blacklistaggi su spews e pressioni di spamhaus hanno dimostrato che qualche risultato, anche se non radicale, si può ottenere.

Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi ciaba » 15/05/03 07:04

........TNX zello :) .........ora ho un quadro un pò + chiaro...........ti devo chiedere un'altro favore ..... :oops: mi sapresti dare una dritta per una guida base (+ della tua).....??...Vorrei approfondire partendo dal basso.....
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Nicola » 15/05/03 12:42

cerca la guida antispam di collinelli che è molto ricca e approfondita ;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "...la mia prima analisi antispam..........":

Analisi log HijackThis
Autore: Sanko
Forum: Sicurezza e Privacy
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti