Condividi:        

The (anti-)spam world thread

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi pjfry » 18/03/03 18:05

ok ho appena ricevuto questa e siccome non sò come perdere tempo indago :D
Codice: Seleziona tutto
Return-Path: <Maddalenaopbu@inwind.it>
Received: from smtp4.libero.it (193dot70dot192dot54) by ims7a.libero.it (6.5.025)
        id 3E5518FE00867857; Tue, 18 Mar 2003 17:27:13 +0100
Received: from inwind.it (80.212.252.27) by smtp4.libero.it (6.7.015)
        id 3E4CEE7004E108B1; Tue, 18 Mar 2003 17:27:12 +0100
Message-ID: <89d327e162e3$133dbcdd$d02da388@fokiftlnn.xbb>
From: "Maddalena" <Maddalenaopbu@inwind.it>
To: Attilio*AT*inwind.it
Subject: che bella la webcam!
Date: Tue, 18 Mar 2003 13:06:31 +0300
MIME-Version: 1.0
Content-Type: text/plain;
   charset="iso-8859-1"
X-Priority: 1
X-MimeOLE: Produced By Microsoft MimeOLE V1.52f) Business
X-MSMail-Priority: High
X-Mailer: The Bat! (v1.52f) Business
Content-Transfer-Encoding: quoted-printable

allora, l'ip dell'smtp di libero è giusto, quindi controllo il 2° che non è di inwind ma viene dalla norvegia... ed è pure listato in spamcop :)
che faccio,'larto'? datemi l'ok perchè ancora non sono tanto sicuro delle mie capacità investigative ;)

vorrei sapere una cosa : il campo 'to:' è taroccabile? suppongo di sì perchè quell'attilio non è certo il mio indirizzo...
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Sponsor
 

Postdi Nicola » 18/03/03 18:14

sì il to: è taroccabilissimo.

per il lart:

Codice: Seleziona tutto
remarks:      - -  Please send abuse reports to abuse<at>telenor.net - -

;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi pjfry » 18/03/03 21:09

wow :D efficenza nordica!!
TBS Abuse Response Team ha scritto:We've given the user a warning. If that doesn't help, we'll close his
account. We apologise for the inconvenience.
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Argonauta » 19/03/03 22:15

Mikizo ha scritto:Ciao zello, mi sembra di aver capito che ti diverti, per cui:

N.1
Return-Path: <millyrosa@lycos.it>
Received: from md2.ksolutions.it ([194.153.172.186]) by mta1.alephint.it
with ESMTP id <20020812080911.TGDG6592.mta1@md2.ksolutions.it>
for <mioindirizzo@katamail.com>;
Mon, 12 Aug 2002 10:09:11 +0200
Received: from 204.71.65.253 ([200.199.140.130])
by md2.ksolutions.it (Mirapoint)
with SMTP id ANX72724;
Mon, 12 Aug 2002 10:05:25 +0200 (CEST)
Message-Id: <200208120805.ANX72724@md2.ksolutions.it>
From: Marta R <millyrosa@lycos.it>
To: Undisclosed.Recipients
Subject: [Sex peach]
Sender: Marta R <millyrosa@lycos.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Mon, 12 Aug 2002 10.06.08 +0200
X-Mailer: Microsoft Outlook Build 10.0.2616)


Vediamo un po' se ho imparato....

Return-Path: <millyrosa@lycos.it>
Received: from md2.ksolutions.it ([194.153.172.186]) by mta1.alephint.it

corrisponde veramente a
netname: ALEPHSRL-NET
descr: Aleph S.r.l.
descr: I 56017 S. Martino Ulmiano PI
country: IT

poi la seconda linea Received dice:
Received: from 204.71.65.253 ([200.199.140.130])
by md2.ksolutions.it (Mirapoint)

Qui l'indirizzo vero dovrebbe essere 200.199.140.130 giusto?

Trying whois -h whois.arin.net 200.199.140.130
OrgName: Latin American and Caribbean IP address Regional Registry
OrgID: LACNIC

whois.lacnic.net 200.199.140.130
status: allocated
owner: Comite Gestor da Internet no Brasil
ownerid: BR-CGIN-LACNIC
responsible: Frederico A C Neves
address: Av. das Nações Unidas, 11541, 7° andar
address: 04578-000 - São Paulo - SP
country: BR
Mi viene segnalato che:
These addresses have been further assigned to Brazilian users.
Contact information can be found at the WHOIS server located
at whois.registro.br and at http://whois.nic.br

Provo al registro .br e rilevo quanto segue:
ID abusos: CGR13
entidade: Telemar Norte Leste S.A.
documento: 002.558.134/0001-58
responsável: Marcello Lugon
endereço: Rua Humberto de Campos, 425, 7º andar
endereço: 22430-190 - Rio de Janeiro - RJ
telefone: (021) 31311343 []

Qui ho trovato perecchie cose (diciamo che non so se ho capito bene....)
Io dovrei segnalare il tutto a: mlugon@TELEMAR.COM.BR
nbso@nic.br e mail-abuse@nic.br e....?
Ma sopratutto cosa dovrei segnalare? semplicemente un copia/incolla dell'email o anche altre info?

Grazie ragazzi, siete infiniti (hihihi)

PS so che si tratta di un vecchio messaggio... ho voluto mettermi in gioco leggendo dall'inizio...
"The attacks to network-connected computers by hackers [...] aren't possible if you connect to Internet using a modem and Tin.it [...]"
http://www.s0ftpj.org/
Argonauta
Utente Junior
 
Post: 24
Iscritto il: 18/03/03 17:41
Località: Milano

Postdi zello » 20/03/03 08:32

Argonauta, quasi perfetto. Due appunti minimi:
- per trovare gli abuse desks, in linea di massima puoi usare whois.abuse.net, passandogli il dominio di cui vuoi trovare l'abuse (in questo caso telemar.net.br). Scrivi anche a mail-abuse<at>nic.br, comunque (è solo un archivio, ma può servire per fini di prova)
- 200.199.140.130 è un open proxy (puoi controllare usando samspade.org/t, strumento blackhole list check, oppure da http://www.openrbl.org [in questo caso http://www.openrbl.org/ip/200/199/140/130.htm])

A questo punto, manda due righe del tipo
Dear Sirs,
as you can see in the attached unsolicited e-mail, you seem to have an open proxy at IP 200.199.140.130, already abused by spammers.
Please fix this security hole, or disconnect it from the internet.
Thank you,

<firma>

E poi alleghi lo spam, con headers e tutto (nel senso che lo copi e incolli, non che lo includi come allegato - molti abuse desks scartano gli allegati binari).

Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 20/03/03 13:51

guarda caso quanto detto da zello è giusto.. ti dico solo una cosa che magari semplifica un pò il lavoro...

esistono infatti programmi whois che ti permettono dalla linea di comando di trovare l'intestatario con la sintassi whois %IP%.

se hai linux dovrebbe gia' esserci di default, con windows li trovi digitando in Google "whois+client+windows+download".
Ultima modifica di Nicola su 20/03/03 14:11, modificato 1 volte in totale.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Grazie

Postdi Argonauta » 20/03/03 14:09

Grazie ragazzi per i suggerimenti, ne faccio tesoro.

Ciao
"The attacks to network-connected computers by hackers [...] aren't possible if you connect to Internet using a modem and Tin.it [...]"
http://www.s0ftpj.org/
Argonauta
Utente Junior
 
Post: 24
Iscritto il: 18/03/03 17:41
Località: Milano

Postdi Nicola » 20/03/03 14:16

che stupidi gli spammers... stesso spam uno dopo 6 giorni.. stesso indirizzo email e stesso contenuto... ma io segnalo :P

peggio per loro :diavolo:

in conpenso anno cambiato open proxy passando da telecom.net.ar a sltnet.lk che non mi è nuova :P

ma perchè ricevo poche reply alle mie segnalazioni :roll:
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi dado » 20/03/03 20:16

NOC IBNetwork: l'efficienza!!! :diavolo:

Ad un lart spedito 10 minuti prima, ecco la risposta:

Grazie,
l'account e' gia' stato sospeso.

saluti
lele

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Frengo78 » 20/03/03 23:34

Soprattutto bando ai formalismi!

C'è una societa telefonica spagnola in questo periodo che si sta rivelando un colabrodo di open proxy e dal quale mi arriva parecchio spam. Mi sfugge il nome. Volevo sapere qual era la sua reputazione
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi dado » 20/03/03 23:45

Frengo78 ha scritto:C'è una societa telefonica spagnola in questo periodo che si sta rivelando un colabrodo di open proxy e dal quale mi arriva parecchio spam. Mi sfugge il nome. Volevo sapere qual era la sua reputazione


Forse intendi Telefonica?
A me ne sta arrivando un pò attraverso i suoi 'buchi' ultimamente...

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi Frengo78 » 20/03/03 23:48

Proprio lei, piu che spagnola sembra svizzera con tutti quei proxy bucati peggio dell'emmenthal
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi zello » 21/03/03 08:29

telefonica? *Ottima* reputazione: c'è voluta la polizia spagnola per fargli staccare un paio di siti pedofili spamvertised, dopo 1 anno di segnalazioni continue.
In linea di massima telefonica è per la Spagna quello che wanadoo è per la Francia e Interbusiness per l'Italia. Diciamo che puoi scegliere:
[ ] una manica di incompetenti;
[ ] una società che scientemente risparmia sul personale addetto all'Abuse Desk.

Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 21/03/03 14:04

vedo che i "miei" spammers si sono fatti furbi.. tutti open proxies... e sono sempre i soliti. neanche cambiano.. perché? :) così non c'è gusto ad analizzare :)

[ot] zello, bello l'avatar :) [/ot]
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi pjfry » 21/03/03 14:34

mi-ti-co... zello ma che l'hai disegnato a mano da stamattina? prima era in b\n, no?

io non ricevo nulla da open proxy, almeno non me ne sono mai accorto... in quei casi che si fà, si chiede all'amministratore di chiuderlo? oppure è possibile farsi dire dai loro log chi è che ha postato lo spam? :mmmh:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Nicola » 21/03/03 14:37

io semplicemente scrivo al provider dell'admin del proxy e chiede se gentilmente gli fanno chiudere il proxy o gli segano l'account.

:arrow: non credo che un open proxy abbia dei logs.. :P .. e poi non te lo direbbero ;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi pjfry » 23/03/03 13:12

ho ricevuto uno spam da 80.198.57.94 ( diceva di provenire da libero*dot*it invece arriva dalla danimarca)
ho trovato l'abuse ma questo ip non è listato da nessuna parte... che faccio larto? potrebbe essere anche un open proxy\relay però? :-?
un'altra cosa... controllo con OE tutti i miei 3 account di posta, ma dopo che ho scaricato un'e-mail come faccio a sapere a quale account è arrivata se il to: è falso? devo per forza fare rispondi e vedere quale from: mi mette dei miei? :undecided:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Nicola » 23/03/03 13:20

pjfry ha scritto:ho ricevuto uno spam da 80.198.57.94 ( diceva di provenire da libero*dot*it invece arriva dalla danimarca)


Ottima analisi.

Codice: Seleziona tutto
remarks:      +---------------------------------------+
remarks:      | For abuse and security issues contact |
remarks:      | csirt*at*csirt.dk, http://www.csirt.dk   |
remarks:      +---------------------------------------+


pjfry ha scritto:ho trovato l'abuse ma questo ip non è listato da nessuna parte... che faccio larto? potrebbe essere anche un open proxy\relay però? :-?


LARTA come se fosse l'origine direttamente. O se vuoi controlla prima sul sito http://proxyqualcosa.jp citato da zello che non mi ricodo. Cmq provando a telnettarmi sulla 25 non si connette.
Direi di affidarsi a quanto dicono le DNSBls; uno non può sapere se l'ip è statico, se la porta 1080/8080/quelcheè era aperta quando hanno spammato . :)
pjfry ha scritto:un'altra cosa... controllo con OE tutti i miei 3 account di posta, ma dopo che ho scaricato un'e-mail come faccio a sapere a quale account è arrivata se il to: è falso? devo per forza fare rispondi e vedere quale from: mi mette dei miei? :undecided:


imho non devi lartare con l'indirizzo che ha ricevuto lo spam.. mi pare che Zello ha detto di lartare con la sua spam-trap.. quindi ;) l'importante imho è che lo SPAM lo abbia ricevuto...
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi pjfry » 23/03/03 14:21

allora, il nome è 0x50c6395e.hrnxx5.adsl-dhcp.tele.dk , c'è dhcp quindi dovrebbe essere un dial-up o comunque un indirizzo temporaneo...
in effetti non mi risponde neanche ad un ping ( lo so che si può firewallare il ping, ma sarebbe strano per un open proxy :lol: ), che sia sconnesso?
ho controllato in http://openrbl.org/ip/80/198/57/94.htm e dice 'bloccato' da spamcop e 'open proxy' secondo njabl :-?
poi ho fatto tutti i test di http://hatcheck.org/proxy?addr=80.198.57.94 e non ha trovato nulla... certo che se è off line è ovvio che non riesca a connettersi alle porte da open proxy, però boh?!
nel lart ci metto un pò di tutto e vediamo che dicono?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Jedi82 » 23/03/03 14:32

se mi e concesso io farei un....up xc e troppo troppo utile qst topic ve lo dico!!!
Jedi82
Utente Senior
 
Post: 332
Iscritto il: 28/08/01 01:00
Località: Roma

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "The (anti-)spam world thread":


Chi c’è in linea

Visitano il forum: Nessuno e 44 ospiti