El 14/12/2006 12:34:10 Carlos E. R. escribió:
robin.listas> > Esto se hace con ordenadores domésticos infectados, Con cada nueva
robin.listas> > vulnerabilidad de XP hay una nueva oleada de spam.
robin.listas>
robin.listas> No creo que los intermediarios sean simples domésticos con XP, porque los
Me refería a los spammers que conectan con el Open-Relay quieres son
"domésticos".
En realidad, pero, el "zombie" puede
a) lanzar el ataque directamente usando su propio motor smtp.
b) usar un Open-Relay
c) Usar el SMTP /s legal/es del usuario infectado
Un ejemplo:
==== INIT FILE ====
Return-Path:
Received: (qmail 4735 invoked by uid 500); 14 Dec 2006 17:53:56 +0900
Delivered-To: shirofan.com-unknown@shirofan.com
Received: (qmail 4733 invoked by uid 500); 14 Dec 2006 17:53:56 +0900
Delivered-To: shirofan.com-dixon@shirofan.com
Received: (qmail 4731 invoked from network); 14 Dec 2006 17:53:56 +0900
Received: from unknown (HELO isogin1.kappe.ne.jp) (127.0.0.1)
by isogin1.kappe.ne.jp with SMTP; 14 Dec 2006 17:53:56 +0900
Received: from hato1.exp.kappe.ne.jp ([192.168.1.178])
by isogin1.kappe.ne.jp (MailMonitor for SMTP v1.2.2 ) ;
Thu, 14 Dec 2006 17:53:56 +0900 (JST)
Received: (qmail 28091 invoked from network); 14 Dec 2006 17:53:56 +0900
Received: from unknown (HELO cpe-065-184-101-069.sc.res.rr.com) (65.184.101.69)
by hato1.kappe.ne.jp with SMTP; 14 Dec 2006 17:53:56 +0900
Received: from [65.184.45.173] (helo=njq)
by cpe-065-184-101-069.sc.res.rr.com with smtp (Exim 4.43)
id 1GvBhG-0007hZ-2K; Fri, 15 Dec 2006 03:57:50 -0800
............^^^^^ el spammer o zombie conecta con el Open Relay o
Servidor "legal"
La IP es 65.184.xx.xx es dinámica y pertenece a "rr.com" por lo que se
puede deducir que es un usuario de "rr.com" está usando una cuenta
"legal" de este ISP (ya que está usando su servidor de correo.
Message-ID: <001101c7203f$ca91cdd0$ad2db841@njq>
From: "Sophy Y. Mccormick"
To:
Subject: Techies code stuff that will process provided you follow the process correctly.
Date: Fri, 15 Dec 2006 03:44:36 -0800
==== END FILE ====
robin.listas> con nombre de dominio y todo. Eso no lo pone el XP automáticamente en una
robin.listas> casa, el usuario tiene que prepararlo a propósito.
XP lleva un motor SMTP preinstalado. Solo es necesario activar la
casilla del servicio correspondiente.
De todas maneras hay muchos virus que llevan integrado su propio motor
SMTP, de ahí esas Listas Negras que bloquean IP's dinámicas.
robin.listas> > Lo más probable es que se trate de IP dinámicas de usuarios domésticos usando
robin.listas> > sus cuentas legales de correo.
robin.listas>
robin.listas> Tengo mis dudas. Respecto a los intermediarios, digo. Son maquinas con
robin.listas> servidores de correo establecidos, quizás de empresas pequeñas.
Si realmente se trata de un ataque puede ir combinado desde Open-Relays,
Cuentas Legales y SMTP víricos. Todo depende de los recursos que dedique
el hacker para intentar romper la máquina atacada
robin.listas> Lastima que no tenga copia.
En el tema hay algunos logs del servidor presuntamente atacado, pero la
gracia está en analizar primero algunos de los mensajes originales que
provocan el rebote, la lástima es que no siempre viene el mensaje
original en el rebote.
--
Saludos,
Josep M. Queralt