|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Cybervlad 2:5020/400 10 Jul 2003 08:54:22
To : Vitaliy Kanurkin
Subject : Интpанетный АйПи
--------------------------------------------------------------------------------
Hi Vitaliy,
Wed Jul 09 2003 16:34, Vitaliy Kanurkin wrote to Cybervlad:
C>> Вот почему мне всегда отвечают и хлопают спамеpа? Может, я что-то не так
C>> делаю? ;)
VK> Хы. Я этот "тpа-та-та" спеpва позыpил VisualRoute'ом, а потом чеpез
Заголовки надо зырить глазами, а не вижуал роутерами ;)
VK> встpоенный сеpвис WhoIs нашел админа. А админ любезно объяснил, что у них
VK> еще некая подсеть, котоpая не в его компетенции.
Значит, они часть выделенного им блока адресов передали одному из своих
клиентов. Если это (делегирование подблока) не зарегистрировано официально в
базе, ответственность несет этот админ. Если он отказывается, можно жаловаться
регистратору. Однако, чисто по-человечески его понять можно, и если он дает
контактную информацию админа этого подблока адресов, то обратиться туда. Если
там пошлют - подниматься по иерархии обратно ;)
C>> Пpишли мне мыл из
C>> солнечной астpалии, а я сюда закину заголовок полученного письма. Там и
C>> посмотpим твой IP. Согласен?
VK> Мыл у тебя какой-то неpусский. Hу да ладно, хpен с ним, отпpаил кое-как.
А какая разница, русский он или нет? Что, в России smtp работает принципиально
по-другому, чем у буржуев? ;) Если уж на то пошло, то этот адрес вообще не
ящик, а редирект, который находится в Англии и перепинывает письма в ящик во
Франции ;)
Ладно, давай препарировать твои заголовки:
============
Return-Path: <terrorist@mafia.by>
Received: from localhost (localhost [127.0.0.1])
by mail.free-unices.org (Postfix) with SMTP id A32504C146
for <тут был мой настоящий адрес>; Wed, 9 Jul 2003 16:16:41 +0200 (CEST)
Received: from office2.csi.net.uk (unknown [212.15.82.31])
by mail.free-unices.org (Postfix) with ESMTP id 62C9E4C13D
for <тут был мой настоящий адрес>; Wed, 9 Jul 2003 16:16:41 +0200 (CEST)
Received: from grsu.by (grsu.by [194.158.202.115])
by office2.csi.net.uk (Postfix) with SMTP id 7089F1839
for <vlad@cybervlad.port5.com>; Wed, 9 Jul 2003 14:17:33 +0000 (GMT)
Received: (qmail 26748 invoked from network); 9 Jul 2003 14:17:20 -0000
Received: from unknown (HELO cristaxp) (10.31.1.141)
by grsu.by with SMTP; 9 Jul 2003 14:17:19 -0000
Date: Wed, 9 Jul 2003 17:17:46 +0300
From: terrorist@mafia.by
X-Mailer:
Reply-To: terrorist@mafia.by
X-Priority: 3 (Normal)
Message-ID: <1932798443.20030709171746@grsu.grodno.by>
To: vlad@cybervlad.port5.com
Subject: test
MIME-Version: 1.0
Content-Type: text/plain; charset=Windows-1251
Content-Transfer-Encoding: base64
X-Spam-Status: No, hits=4.5 required=5.5
tests=BASE64_ENC_TEXT,NO_REAL_NAME,PRIORITY_NO_NAME,
SPAM_PHRASE_00_01
version=2.44
X-Spam-Level: ----
================================
Итак, ты сидел за компьютером cristaxp (IP-адрес 10.31.1.141). Это
немаршрутизируемый адрес (Intranet-only).
Забегая вперед, скажу, что этот компьютер находится общей сети Гродненского
госуниверситета, шлюз по умолчанию для него 10.31.1.2, адрес сервера DNS -
10.31.1.10), запасной - 195.50.4.1. ;)
Почту ты отправил либо прописав в мейлере липовый обратный адрес, либо
законнектившись на 25 порт почтового сервера grsu.by (194.158.202.115). Тут
опять два варианта. Либо у этого сервера есть второй интерфейс с интранетным
адресом (что врядли), коннект из сети 10.31.* был через NAT (что более
вероятно). Во втором случае, в логах почтовика остался "внешний" адрес машины
с NAT. Судя потому, что почтовик сожрал обратный левый адрес, машина с NAT
находится в той же юрисдикции, ибо люди в здравом уме не включают релеинг кому
попало. Соответственно, администратор у всей этой байды общий.
В данном случае все просто - айпишник резолвится через DNS и в течение пяти
минут находится соотв. сайт, а на нем контактный адрес админа, которому и
следует жаловаться.
В противном случае, можно воспользоваться whois и увидеть, что адрес находится
в блоке адресов, делегированных BELPAK (Republican Association BELTELECOM).
Контактная инфа для связи с админами также имеется. Они или сами найдут
террориста, или дадут контакт админа соотв. подсети.
Итого: для поиска terrorist@mafia.by надо связаться с админом Гродненского
универа по адресу telecom at grsu.ru и попросить выловить кулхацкера,
сидевшего за машиной 10.31.1.141 в 14:17:19 9 июля 2003 года ;)
Если админ человек нормальный и не хочет своей задницей отвечать за проделки
юзеров, у него учет поставлен нормально, и тебя вычислят за 6 секунд. А уж
если бы письмо было не тестовым, а с реальными угрозами и т.п., то после
запроса по "официальной" линии, это произошло бы не за 6 секунд, а за 3 ;)
Кстати, а эта машинка случайно не под одной из ваших веб-камер стоит? ;)
Помаши в нее ручкой ;)
C>> Hе хочется тебя обижать, но если ты с ними так же общаешься, то они тебе
C>> точно не помогут...
VK> Может я чего не пpосекаю в сабже, но меня он изpядно достал 8-( Одни
Кто, Дима тебя достал? Он тебе макимально вежливо и корректно пытался
объяснить, где ты не прав.
VK> говоpят одно, дpугие -- дpугое. Я вижу только одно, что в сети я
VK> анонимный. Для банального суpфинга мне этого вполне достаточно!
Ща, анонимный ты при сёрфинге...
При помощи nmap и telnet определяем, что проксик ваш стоит на:
Remote OS guesses: FreeBSD 4.6.2-RELEASE - 4.7-STABLE, FreeBSD 4.7-RELEASE,
FreeBSD-4.7-RELEASE-p3
Версия: squid/2.5.STABLE2
Чтобы проксик был анонимным, это надо специально указать в конфиге. А нафига
админу головная боль с поиском хулигана в случае официальной предъявы? Такчто
x-forwarded-for в заголовках при серфинге, скорее всего светится.
Конечно, при желании, все эти версии можно сэмулировать при помощи настроек,
но не думаю, что это тот случай.
А теперь тебе домашнее задание: найди ежовские неттулсы и проверь, анонимен ли
твой прокси ;)
VK> Спасибо конечно, за помощь! Я постоpаюсь подpобнее вникнуть, а сейчас
VK> пока нима часу.
Hа здоровье. ОДнако из этой фразы я делаю вывод, что ты еще и не пытался
подробно вникнуть в проблему и суть того, что тебе объяснял Дима Радищев. А
уже бочку на него катишь...
regards, Vlad. --> http://www.free-unices.org/~cybervlad
--- ifmail v.2.15dev5
* Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
