|
Cronaca di uno spamming |
09/05/2003 |
CRONACA DI UNO SPAMMING
Era il 3 Agosto 2002... Verso le 9.00 della sera. Una strana attività del collegamento internet mi insospettiva... Uhm. Ad un primo esame sembrava che accedessero al server smtp (smtpproxy) dall`esterno. Strano. Decisi di installare un firewall e... SORPRESA! Le richieste di connessione arrivavano a DECINE da IP diversi e sparsi per il mondo proprio alla mia porta 25!!! Glurb! Ero una sorta di Open Relay per qualche spammatore! Ci mancava pure questa, con l`IP fisso di ADSL rischiavo una brutta fine... Come cavolo sarò entrato nella lista di questi spammer? Comunque Era il caso di correre ai ripari. Ripresi in mano il codice di SmtpProxy e lo riprogrammai in modo da accettare connessioni solo da localhost (127.0.0.1) facendo contemporaneamente uscire la versione patchata 1.01. Poi mi dilettai nella programmazione di "SI PADRONE", un piccolo server smtp FALSO COME GIUDA, che accettava le connessioni, rispondeva in modo corretto e dava l`illusione allo spammer di turno di collegarsi ad un vero server, buono ed ubbidiente. Ovviamente il server non spediva alcunchè.. Si limitava a rispondere sempre `OK` ;-)
"SI PADRONE" loggava gli ip e il contenuto delle sessioni. Quando presi in mano il file di log rimasi un po` stupito. Le connessioni arrivavano da mezzo mondo ma TUTTE le sessioni spedivano la stessa email (una spammata da un sito porno) ovviamente a decine di utenti alla volta e tutti diversi. Mi insospetti e scandagliai a fondo gli IP dei server di arrivo. Beh... Si trattava di server hackati, compromessi, oppure con dei proxy aperti senza protezione (moltissimi con Analog Proxy non settato correttamente evidentemente). Capii di aver rischiato grosso... avrei potuto fare la fine di quei server se non avessi patchato SmtpProxy (e anche gli utenti che lo stavano usando, diamine!). Un esame più approfondito su vari siti di controllo sui server `aperti` e `bloccati` confermava la mia tesi (http://spamcop.net/ http://www.ordb.net http://www.openrbl.org/ etc...). TUTTI gli IP (o quasi) erano `segati` come spammer recidivi. Contattai quasi tutti gli amministratori delle macchine `compromesse` ma NESSUNO RISPOSE. Solo uno, in giappone, spense la macchina del cliente e mi chiese ulteriori informazioni. Ora capisco perchè gli hacker hanno vita facile.
Lo spam era continuativo, giorno e notte. Dopo una settimana lo spam continuava, nonostante avessi tenuto il server spento anche per un giorno intero. La cosa più probabile è che si trattasse di un programma apposito con una sua lista di `open relay` che utilizzava per spammare. Tale programma aveva, inoltre, una lista di macchine hackate o compromesse alle quali appoggiarsi. Gli spammer sono dunque anche mezzi delinquenti. Se si conta poi che probabilmente non ero l`unico server smtp nella lista è facile immaginare il volume dello spam. Comunque tutto quello che mi arrivava veniva gettato nel `buco nero`. Un sacco di ignari possessori delle email spammate dovrebbero ringraziarmi per questo! ;-) Inoltre una analisi approfondita di alcuni server compromessi confermava la presenza di condivisioni `aperte` (interi dischi fissi, stampanti, etc...) bellamente ignorate! Gli amministratori dove sono? Eppure sono stati contattati (non mi è tornata indietro alcuna email). Forse aspettano il giorno che qualcuno formatti il disco fisso per rendersene conto? ;-)
|
|
Donazione con paypal |
Se ritieni che StopDialers ti sia stato utile o apprezzi la musica MP3 scaricata puoi effettuare una donazione di qualsiasi entità per supportare il mio lavoro, grazie. In alternativa potete cliccate i banner pubblicitari... |
Advertizing |
|
|