Методы определения IP адресов
спамеров. |
Мне часто приходят письма от спамеров,
"доброжелателей" и прочих юзеров, которые думают что они анонимны...
Развеем же их надежды. Вот, к примеру, пришло мне письмо от одного
спамера, рассылающего мне бюллетень "$#*зит", который мне не нужен.
Берем его письмо, жмем (в Аутлуке) Файл, потом Свойства, закладка
Подробности. Вот что мы видим (помеченные "#" строки - мой
комментарий):
Return-Path: test@moscow.portal.ru # все
идеально... вот только этот Return-Path можно подделать, так как мы
его ставим в настройках сами Received: from users.portal.ru
(root@users.portal.ru [195.16.96.19]) # ага, вот через этот SMTP
сервер и было получено письмо by net.sochi.ru (8.9.1/8.9.1) with
ESMTP id OAA07534; Thu, 25 Feb 1999 14:15:39 +0300 (MSK) #
дата получения сообщения моим сервером (envelope-from
elf@moscow.portal.ru) Received: from default
(ppp-1-56-en.portal.ru [195.16.98.57]) # А вот он, попался;
кстати, в настройках Виндов у него стоит имя хоста - default, а его
IP - 195.16.98.57. :) Вот мы и узнали его IP, его провайдер -
www.portal.ru, login - ppp-1-56-en. Такой логин, скорее всего,
говорит о том, что провайдер выделяет IP адреса динамически (то есть
он в Инет заходит с обычного дайл-апа). Да, это усложняет нашу
задачу:
by users.portal.ru (portal/portal) with SMTP id
OAA16807; Thu, 25 Feb 1999 14:03:05 +0300 From: "Test" To:
"=?koi8-r?B?987JzcHOycAg0s/T08nK08vJyCDU1dLGydLNIQ==?=" Subject:
Bulletin "Visit" Date: Thu, 25 Feb 1999 14:03:40
+0300 Message-ID: 01be60ae$806c26a0$396210c3@default # если
очень уж хочется настучать провайдеру о нем или, если повезет,
узнать о нем побольше, номер письма может
пригодиться. MIME-Version: 1.0 Content-Type:
multipart/mixed; boundary="----=_NextPart_000_00A5_01BE60C7.E81E2280" X-Priority:
3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook
Express 4.71.1712.3 # пользователь Аутлука :) X-Mimeole:
Produced By Microsoft MimeOLE V4.71.1712.3 X-UIDL:
0c1adfa61e9031e7565b0535b7d58a52
Это я рассмотрел "легкий
случай" с одним сервером - посредником... Вот посложней. Ты,
конечно, получал письма с предложением получить денег (совет -
стирай их сразу). Вот то же самое пришло и мне. А если я тебе скажу,
что через 10 минут я узнал Имя, Фамилию, Телефон, место работы,
должность, а также всю биографию директора фирмы из локальной сетки,
откуда писал спамер... А также, имея его локальный адрес - вышел на
него самого... Обо всем читай ниже:
Return-Path:
SUCCESS.REPORT-99@mail.bb-online.dk # Здесь все ясно
:) Received: from mail.bb-online.dk ([194.239.250.70]) #
подставной e-mail by net.sochi.ru (8.9.1/8.9.1) with ESMTP id
UAA10138 for ; Wed, 24 Feb 1999 20:54:36 +0300
(MSK) (envelope-from SUCCESS.REPORT-99@mail.bb-online.dk) #
это мой мэйл-сервер From:
SUCCESS.REPORT-99@mail.bb-online.dk # Неправда :) Received:
from mail.bb-online.dk (170-244-26.ipt.aol.com
[152.170.244.26]) by mail.bb-online.dk (8.8.8/8.8.5) with SMTP id
TAA10595; Wed, 24 Feb 1999 19:28:57 +0100
Received:
from tengu.host2u.net (tengu.host2u.net [208.150.156.42] by
tengu.host2u.net (8.8.5/8.6.5) with # Имя локального хоста можно
подделать без усилий, но IP в квадратных скобках и локальный адрес в
круглых - выдал его с головой. SMTP id GAA06279 for ; Wed, 24 Feb
1999 08:00:58 -0600 (EST) # Тоже интересный адрес, но это не то,
о чем ты подумал To: sucsess@FWP.NET Message-ID:
<001010be5bde$d05ee5a0$e948a1d1@oemcompute> Date: Wed, 24
Feb 99 08:00:58 EST Subject: $$$ Reply-To:
sucsess@FWP.NET X-PMFLAGS: 128 0 Comments: Authenticated
sender is X-UIDL: 33239456098756743245607948572636 Узнай как
можно больше подробностей
Начнем наше разбирательство по
этому случаю: первый е-мэйл, указанный в Return-path'е - подставной
(100%). Зачем спамеру давать свой реальный ящик? А mail.bb-online.dk
- подставной сервер посылки почты. Этим я занялся первым делом.
Зашел на www.bb-online.dk и узнал, что это немецкий провайдер,
предоставляющий размещение виртуальных серверов, и главное, что у
него открыт 25 порт для всех - то есть через него можно слать почту
без проблем. Вот этой фишкой и воспользовался спамер, точнее не он
сам, а тот, кто продал ему e-mail адреса жертв (мой тоже, правда я
ума приложить не могу, откуда он там взялся - скорее всего,
перепродажа адресов). Очень интересным показался мне адрес
sucsess@fwp.net, поэтому я зашел на www.fpw.net, который оказался
сайтом Yelow Pages (то есть сайтом с кучей ссылок, или рубрикатором,
по-русски). Мне там предложили оставить свой e-mail, на что я
ответил вежливым отказом. Все ясно, fpw - это и есть тот сервер,
который продал мой e-mail и послал мне спам. Вся эта информация,
конечно, нужна, но хотелось узнать, кто же настоящий заказчик.
Это можно сделать так: Посмотреть на последний
заголовок Received From - tengu.host2u.net. Оказался лажой - я это
тоже проверил через Интернет Маньяка и просто написав этот адрес в
броузере. Проверить IP. А вот IP в квадратных скобках -
интересный... Я сделал Host LookUp (это делается любой прогой, типа
CyberKit) и увидел www.eric.com. Ну а дальше все ясно. Бегом на
сайт, смотрим about, читаем Contacts и все. Вот там-то я и узнал о
начальнике спамера. Удачи!
|