(Είδα ότι το γράμμα δε μπήκε στο https://lists.ubuntu.com/archives/ubuntu-gr/2011-May/date.html#end διότι δεν άλλαξα τον τίτλο, οπότε το ξαναστέλνω για να μπει στο αρχείο της λίστας. Δείτε στο τέλος του γράμματος για την απάντηση στον Παντελή.)
2011/5/31 ο ελάχιστος όλων <[email protected]>: > http://tdcassiut.fateback.com/find11.htmlxxxxxxxxxxxxxxxxxxx > Τι μπορούμε να μάθουμε από το παραπάνω γράμμα; 1. Όταν λαμβάνουμε τέτοιο γράμμα όπου προέρχεται από κάποιο «γνωστό» μας και περιλαμβάνει ένα παράξενο σύνδεσμο, τότε πρόκειται για τυπικό spam. Σε νεότερα spam μπορεί να αλλάξει το περιεχόμενο, ωστόσο τώρα παίζει το στυλ όπου το γράμμα περιλαμβάνει ένα σύνδεσμο μόνο. 2. Ο σύνδεσμος έχει κακόβουλο περιεχόμενο, και προσπαθεί να εκμεταλλευτεί τον περιηγητή σας. Οπότε δεν επισκεπτόμαστε το σύνδεσμο. 3. Ποιος έστειλε το γράμμα; Κατά βάση δεν είναι ο φερόμενος αποστολέας. Κατά πάσα πιθανότητα ο αποστολέας (δεν είναι σίγουρο) πήγε σε κάποιο μολυσμένο Internet Cafe ή εγκατέστησε λογισμικό με δούρειο ίππο, και έγινε διαρροή του διευθυνσιολογίου. Οπότε, μιλάμε για κάποιον που γνωρίζει (είναι είναι ο ίδιος) τον [email protected], είχε επαφή με το έργο Slackintosh, κτλ. 4. Από που ήρθε το γράμμα; Επιλέγουμε View Original από το GMail μας για να δούμε όλες τις κεφαλίδες. Βλέπουμε συγκεκριμένα το κομμάτι που αναφέρει Received: from [84.15.62.2] by web27908.mail.ukl.yahoo.com via HTTP; Tue, 31 May 2011 11:58:06 BST X-Mailer: YahooMailWebService/0.8.111.303096 Οπότε είναι μέσω YahooMail (Web), από τη διεύθυνση 84.15.62.2. Από που είναι το 84.15.62.2; Βλέπουμε στο http://whois.domaintools.com/84.15.62.2 και διαπιστώνουμε, Λιθουανία! Οπότε οι spammers έχουν διασύνδεση στη Λιθουανία. 5. Και τι κάνουμε για τώρα ως Ubuntu-gr; Έβαλα τη διεύθυνση του Γιάννη να γίνεται moderated, οπότε όταν στέλνεται γράμμα να πρέπει να το επιτρέπει πρώτα κάποιος από τους διαχειριστές (Μιχάλης Κ. ή εγώ). Θα το αφήσουμε έτσι για 1-2 βδομάδες μέχρι να βαρεθούν εκεί στη Λιθουανία. 6. Τι κακόβουλο ήθελαν να κάνουν; Μπορούμε να αναλύσουμε τη σελίδα του συνδέσμου που δίνεται. Κάνουμε τη λήψη της σελίδας με wget, π.χ. wget http://...... (δε γράφω το πλήρη σύνδεσμο) και το αποτέλεσμα πάει σε ένα αρχείο find11.html. Εκεί μέσα βλέπουμε διαφημίσεις για CMS, σχεδόν άκακο, ώστε στο τέλος του αρχείου υπάρχει εντολή για αυτόματη μετάβαση σε νέα σελίδα, www τελεία safetylife2011 τελεία org, Δοκιμάζουμε και εκεί με wget και βλέπουμε το πραγματικό πρόσωπο του κακόβουλου προγράμματος. Προωθεί συνέχεια από το ένα δικτυακό τόπο στον άλλο, και φθάνει σε μια σελίδα όπου πωλούν φάρμακα για αθλητές. Στη διαδικασία αυτή γίνεται καταγραφή του ΙΠ μας, και όπως φαίνεται ανάλογα με την τοποθεσία του θύματος, εμφανίζει το αντίστοιχο spam. ΜΗ φορτώσετε τα παραπάνω στον περιηγητή σας διότι μπορεί να εκμεταλλευτούν και κάποια αδυναμία του λογισμικού σας. Αυτά, ελπίζω να ήταν ενδιαφέροντα! Σίμος 2011/5/31 Pantelis Koukousoulas <[email protected]>: > 2011/5/31 Simos Xenitellis <[email protected]>: >> Βλέπουμε στο >> http://whois.domaintools.com/84.15.62.2 >> και διαπιστώνουμε, Λιθουανία! >> Οπότε οι spammers έχουν διασύνδεση στη Λιθουανία. > > Αυτό δεν είναι απαραίτητο, απλά σημαίνει ότι χρησιμοποίησαν > το server του yahoo της Λιθουανίας. Αυτός που το έστειλε μπορεί > να το έκανε από οπουδήποτε μέσω ενός απλού web proxy, ή > από κάποια τοποθεσία την οποία το yahoo εξυπηρετεί μέσω αυτών > των servers. > Received: from [84.15.62.2] by web27908.mail.ukl.yahoo.com via HTTP; Tue, 31 May 2011 11:58:06 BST X-Mailer: YahooMailWebService/0.8.111.303096 Το 84.15.62.2 δεν αποτελεί εξυπηρετητή της Yahoo στη Λιθουανία. Κατά το http://whois.domaintools.com/84.15.62.2 πρόκειται για κάποιο τοπικό mobile ISP. Δε φαίνεται να είναι proxy, παρά υπολογιστής ρυθμισμένος να στέλνει ανεπιθύμητα μέσω HTTP (Web), με το χέρι ή μάλλον αυτοματοποιημένα. Αυτό το web27908.mail.ukl.yahoo.com πρόκειται για εξυπηρετητή της Yahoo στο HB. Η Yahoo δεν ενεργεί γρήγορα και αποτελεί εργαλείο για τους spammer. Για τους λογαριασμούς yahoo.co.uk, η Yahoo επέτρεπε πάνω από έξι χρόνια πρόσβαση σε SMTP και POP3, χωρίς περιορισμούς. Για Yahoo + spammer, δες http://www.data-wales.co.uk/ni_yahoo.htm Σίμος -- Ubuntu-gr mailing list [email protected] If you do not want to receive any more messages from the ubuntu-gr mailing list, please follow this link and choose unsubscribe: https://lists.ubuntu.com/mailman/listinfo/ubuntu-gr
