Vi testar det mest uppenbara. I 'huvudet' sägs det att meddelandet var skrivet och skickat från 203.15.166.46. Så vi 'telnettar' till denna nntp-server (port 119): telnet 203.15.166.46 119 Vi får som svar: Trying 203.15.166.46 ... telnet: connect: Connection refused Det här visar att det är nåt galet. Om det här var en dator som skötte nyhetsgrupper, skulle den ha en nntp-port som accepterar besökare. Den kollar snabbt om jag är användare på just den datorn, och om inte, bryter den förbindelsen. Men i det här fallet kopplas jag aldrig fram. Det finns en annan förklaring. Datorn har en brandvägg som filtrerar bort icke-användare. Men det är inte vanligt hos en dator som sköter 'dating'-tjänster. Brandväggar används av stora bolag för att skydda sina interna nätverk mot Internet. Härnäst testar jag att skicka epost till postmaster@203.15.166.46 med en kopia av 'spammet'. Men som svar får jag: Date: Wed, 28 Aug 1996 21:58:13 -0600 From: Mail Delivery Subsystem To: cmeinel@techbroker.com Subject: Returned mail: Host unknown (Name server: 203.15.166.46: host not found) The original message was received at Wed, 28 Aug 1996 21:58:06 -0600 from cmeinel@localhost ----- The following addresses had delivery problems ----- postmaster@203.15.166.46 (unrecoverable error) ----- Transcript of session follows ----- 501 postmaster@203.15.166.46... 550 Host unknown (Name server: 203.15.166.46: host not found) ----- Original message follows ----- Return-Path: cmeinel Received: (from cmeinel@localhost) by kitsune.swcp.com (8.6.9/8.6.9) id Det verkar som nntpserver-informationen också var förfalskad. Nu testar vi nästa adress i 'headern'. Eftersom den börjar med ordet "news", så bör det vara en dator som hyser nyhetsgrupper. Så jag kollar in dess nntp-port: telnet news.ironhorse.com nntp Och svaret blev: trying 204.145.167.4 ... Connected to boxcar.ironhorse.com. Escape character is '^]'. 502 You have no permission to talk. Goodbye. Connection closed by foreign host Ok - då vet vi att den adressen åtminstone är en news-server. Och vi fick också lära oss namnet/adressen till datorn ironhorse.com, som i sin tur sköter nyhetsgruppen "boxcar". Jag testar nästa adress: telnet news.uoregon.edu nntp Och får: Trying 128.223.220.25 ... Connected to pith.uoregon.edu. Escape character is '^]'. 502 You have no permission to talk. Goodbye. Connection closed by foreign host. OK, det här är också en giltig nyhetsserver. Vi hoppar till sista adressen "in2.uu.net": telnet in2.uu.net nntp Och får svaret: in2.uu.net: unknown host Någonting är skumt här. Värddatorn i 'headern' är inte uppkopplad mot Internet just nu. Den är antagligen påhittad. Låt oss testa domännamnet: whois uu.net Resultatet blir: UUNET Technologies, Inc. (UU-DOM) 3060 Williams Drive Ste 601 Fairfax, VA 22031 USA Domain Name: UU.NET Administrative Contact, Technical Contact, Zone Contact: UUNET, AlterNet [Technical Support] (OA12) help@UUNET.UU.NET +1 (800) 900-0241 Billing Contact: Payable, Accounts (PA10-ORG) ap@UU.NET (703) 206-5600 Fax: (703) 641-7702 Record last updated on 23-Jul-96. Record created on 20-May-87. Domain servers in listed order: NS.UU.NET 137.39.1.3 UUCP-GW-1.PA.DEC.COM 16.1.0.18 204.123.2.18 UUCP-GW-2.PA.DEC.COM 16.1.0.19 NS.EU.NET 192.16.202.11 The InterNIC Registration Services Host contains ONLY Internet Information (Networks, ASN's, Domains, and POC's). Please use the whois server at nic.ddn.mil for MILNET Information. Så uu.net är ett riktigt domännamn. Men eftersom värddatorn in2.uu.net som listas i 'headern', inte är uppkopplad mot Internet, är den här delen med största sannolikhet också förfalskad. (Det kan finns andra förklaringar också). Vi arbetar oss uppåt i 'headern': telnet news.mindspring.com nntp Jag får: Trying 204.180.128.185 ... Connected to news.mindspring.com. Escape character is '^]'. 502 You are not in my access file. Goodbye. Connection closed by foreign host. Intressant. Jag får inte en värddator till namnet på nntp-porten. Vad betyder detta? Det finns ett sätt att testa. Låt oss 'telnetta' till porten som ger oss inloggnings sekvensen. Det är port 23, som telnet automatiskt går till om vi inte anger någon annan port: telnet news.mindspring.com Det här börjar bli intressant! Trying 204.180.128.166 ... telnet: connect to address 204.180.128.166: Connection refused Trying 204.180.128.167 ... telnet: connect to address 204.180.128.167: Connection refused Trying 204.180.128.168 ... telnet: connect to address 204.180.128.168: Connection refused Trying 204.180.128.182 ... telnet: connect to address 204.180.128.182: Connection refused Trying 204.180.128.185 ... telnet: connect: Connection refused Notera hur detta kommando testar fler datorer. De är alla nyhetsservrar eftersom ingen av dem har inloggning. Det här ser ut som en bra kandidat till orginaldatorn där 'spammet' skapades. Det finns 5 nyhetsservrar. Vi testar med ett "whois"-kommando på domännamnet: whois mindspring.com Vi får: MindSpring Enterprises, Inc. (MINDSPRING-DOM) 1430 West Peachtree Street NE Suite 400 Atlanta, GA 30309 USA Domain Name: MINDSPRING.COM Administrative Contact: Nixon, J. Fred (JFN) jnixon@MINDSPRING.COM 404-815-0770 Technical Contact, Zone Contact: Ahola, Esa (EA55) hostmaster@MINDSPRING.COM (404)815-0770 Billing Contact: Peavler, K. Anne (KAP4) peavler@MINDSPRING.COM 404-815-0770 (FAX) 404-815-8805 Record last updated on 27-Mar-96. Record created on 21-Apr-94. Domain servers in listed order: CARNAC.MINDSPRING.COM 204.180.128.95 HENRI.MINDSPRING.COM 204.180.128.3 ************************************************************************ Nybörjartips: Kommandot "whois" kan användas för att se vem som äger ett domännamn. Domännamn är de tex två sista delerna av din epost-adress efter @, tex telia.com eller de två sista delarna i en dators namn, tex netcom.com från datorn ix.netcom.com. ************************************************************************ Jag skulle påstå att Mindspring är den ISP vartifrån det här inlägget är postat. Anledningen är att den delen av 'headern' ser äkta ut, och den erbjuder en rad datorer varifrån man kan skicka falska inlägg. En kopia till teknikerna på hostmaster@mindspring.com med en kopia på inlägget, kan ge resultat. Personligen skulle jag dock bara gå till deras websida, och skicka dem ett protestbrev. Parande noshörningar? Även om det är olagligt? Min system administratör Terry McIntyre varnar mig: "Man behöver inte skicka megabyte-stora filer tillbaks. (om man inte skickar en kopia på 'spammet' för att låta mottagaren förstå vad det handlar om) Det stora antalet ofredade, är till din fördel. 'Spammers' skickar ett meddelande eller inlägg och han når tusentals potentiella kunder. Dessa skickar tillbaks epost-meddelande till 'spammern" och säger vad de tycker om 'spamming'. De flesta 'spammers' fattar då galoppen kvickt. Man skall undvika att skicka klagomål till den nyhetsgrupp där 'spammet' från början postades. Ditt klagomål bidrar bara till att belamra den nyhetsgruppen med ännu mer skit som du tvingar på andra, i nyhetsgruppen". Om jag verkligen vill bli av med en 'spammer'? - Bästa sättet är att skicka ett artigt epost-meddelande med bifogad 'spam' med 'header' och allt, till tekniker och/eller postmastern på varje adress i headern som är äkta. Chansen finns att de blir tacksamma för ditt detektivarbete. Här är ett exempel på ett email jag fick från Netcom som handlar om en 'spammer' som jag spårade upp: From: Netcom Abuse Department Reply-To: Subject: Thank you for your report Thank you for your report. We have informed this user of our policies, and have taken appropriate action, up to, and including cancellation of the account, depending on the particular incident. If they continue to break Netcom policies we will take further action. The following issues have been dealt with: santigo@ix.netcom.com date-net@ix.netcom.com jhatem@ix.netcom.com kkooim@ix.netcom.com duffster@ix.netcom.com spilamus@ix.netcom.com slatham@ix.netcom.com jwalker5@ix.netcom.com binary@ix.netcom.com clau@ix.netcom.com frugal@ix.netcom.com magnets@ix.netcom.com sliston@ix.netcom.com aessedai@ix.netcom.com ajb1968@ix.netcom.com readme@readme.net captainx@ix.netcom.com carrielf@ix.netcom.com charlene@ix.netcom.com fonedude@ix.netcom.com nickshnn@netcom.com prospnet@ix.netcom.com alluvial@ix.netcom.com hiwaygo@ix.netcom.com falcon47@ix.netcom.com iggyboo@ix.netcom.com joyful3@ix.netcom.com kncd@ix.netcom.com mailing1@ix.netcom.com niterain@ix.netcom.com mattyjo@ix.netcom.com noon@ix.netcom.com rmerch@ix.netcom.com rthomas3@ix.netcom.com rvaldes1@ix.netcom.com sia1@ix.netcom.com thy@ix.netcom.com vhs1@ix.netcom.com Sorry for the length of the list. Spencer Abuse Investigator ___________________________________________________________________ NETCOM Online Communication Services Abuse Issues 24-hour Support Line: 408-983-5970 abuse@netcom.com ************** Det var allt för den här gången. Jag ser fram mot bidrag från er till den här guiden. Happy Hacking och - åk inte fast! _______________________________________________________________________________________________ Om du vill kolla in tidigare delar av Guide to (most) Harmless Hacking - kolla sidorna: http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://techbroker.com/happyhacker.html (den officiella Happy Hacker sidan) http://www.daman.tierranet.com/resources/gtmhh/gtmhhindex.html] http://www.silitoad.org http://www.anet-chi.com/~dsweir http://www.ilf.net/brotherhood/ http://www.magnum44.com/orion/entry.htm http://home.pages.de/~ristridin http://www.axess.com/users/wookie/Hack.htm http://home2.swipnet.se/~w-25277/ http://w1.340.telia.com/~u34002171/hhd.html (Svenska happy hacker sidan) http://w1.340.telia.com/~u34002171/hhd/gtmhh/svenska/hhdsvensk.html Du kan prenumerera på diskussions listan genom att skicka e-post till hacker@techbroker.com med meddelandet "subscribe" . Det här är den amerikanska sidan och all info är på engelska. Om du vill dela med dig av tips eller rätta saker du tycker är fel- skicka meddelande till hacker@techbroker.com Om du vill skicka konfidentiell post (på engelska) - inga frågor om illegal hacking - till mig - skicka till cmeinel@techbroker.com och om du vill vara anonym,går det bra men nämn detta i ditt e-mail. Skicka alla flames till /dev/null. Copyright 1997 Carolyn P. Meinel. Du kan lägga upp den här guiden på din sida om du behåller de här sista raderna: _____________________________________________________________________________________ Svensk översättning: Björn Lindblom Februari 1998 ______________________________________________________________________________________ Carolyn Meinel M/B Research -- The Technology Brokers