Les domaines example en .com .net et .org sont réservés par l’IANA.

$ whois example.com
Whois Server Version 1.3

Domain names in the .com and .net domains can now be registered  
with many different competing registrars. Go to http://www.internic.net  
for detailed information.  
-snip-  
Domain Name: EXAMPLE.COM  
Registrar: RESERVED-INTERNET ASSIGNED NUMBERS AUTHORITY  
Whois Server: whois.iana.org  
Referral URL: http://res-dom.iana.org  
Name Server: A.IANA-SERVERS.NET  
Name Server: B.IANA-SERVERS.NET  
Status: REGISTRAR-LOCK  
Updated Date: 26-mar-2004  
Creation Date: 14-aug-1995  
Expiration Date: 13-aug-2011  
-snip-  
Registrant:  
Name: Internet Assigned Numbers Authority (IANA)  
Organization: Internet Assigned Numbers Authority (IANA)  
Address1: 4676 Admiralty Way, Suite 330  
Address2:  
Address3:  
City: Marina del Rey  
State/Province: CA  
Country: US  
Postal Code: 92092  
Phone: 310-823-9358  
Fax: 310-823-8649  
Email: res-dom@iana.org  
Registration Date: 11/01/2001  
Last Updated Date: 11/01/2001  
-snip-

Ceci est décris dans la RFC 2606

[…] To safely satisfy these needs, four domain names are reserved as listed and described below.

.test
.example
.invalid
.localhost

“.example” is recommended for use in documentation or as examples.

Les sites web en question renvoient justement vers la RFC.

Pratique pour générer des stats à partir de scripts…

$ sudo apt-get install geoip-bin bind9-host
$ geoiplookup 213.41.120.195
GeoIP Country Edition: FR, France
$ geoiplookup 216.239.59.99
GeoIP Country Edition: US, United States

J’ai besoin de réinjecter des spams pour faire des tests sur un serveur… mais l’utilisation de la commande mail ne suffit pas pour reinjecter les messages avec leurs en-têtes…

On utilisera donc la commande sendmail (Nom du binaire même pour Postfix):

for i in message.*; do cat "$i" | sendmail -f from@domain.tld to@domain.tld ;done

The Postfix sendmail command implements the Postfix to Sendmail compatibility interface > -f sender
Set the envelope sender address. This is the address where delivery problems are sent to, unless the message contains an Errors-To: message header.

Pour récupérer des spams “frais” il y a SpamArchive.org

wget ftp://spamarchive.org/pub/archives/submit/679.r2.gz

Et un petit script pour spitter le tout:

$ cat convert  
#!/usr/bin/perl -pl
if ( /^From / ) { close(OUT); open(OUT, ">>message.".$i++) || die "Can't open new file! $i "; select(OUT); print STDERR "Opened $i"; }
$
$ ./convert 679.r2

Dans la série: les spammeurs sont toujours à l’affût des meilleures ruses pour faire passer leurs spams..

Le mail s’affiche dans les clients mails comme ceci:

Spam20042005-1

On peut constater qu’une recherche normale de tokens ou de mots sera un échec car les mots sont étrangement découpés: “purchase” devient “pcruhase” etc.., il y a de fortes chances que le filtre voit le texte suivant au mieux:

Spam20042005-3

Pourquoi les mots écrits dans le source à l’envers, s’affichent à l’endroit (au moins dans les clients mail à base de moteur Html IE) ?

  • Le &#8238 sert a indiquer que l’affichage doit de faire de droite vers gauche comme pour du texte en Arabe ou en Hébreux etc..
  • et le &#8236 restaure la direction normale de gauche à droite!

Je dis: bien joué les spammeurs…

Un autre exemple pour du phishing:

Spam20042005-4

qui a pour source:

Spam20042005-5

Beaucoup (trop) de sites célèbres permettent d’utiliser des redirectors…

Ceci est utile aux spammeurs pour principalement 2 raisons:

  • L’utilisateur va avoir tendance à penser que le lien est sérieux, et donc a plus de chances de cliquer sur le lien. (Encore pire pour du phishing)
  • Cette technique permet de contourner les filtres anti-spams car les liens ne sont plus les originaux (exemple SURBL)

Quelques exemples valides à l’écriture de ce billet:

http://www.google.com/url?q=http://blog.uggy.org  
http://www.google.com/url?sa=U&start=1&q=http://blog.uggy.org&e  
http://www.microsoft.com/germany/businesssolutions/mbs_extern.asp?url=http://blog.uggy.org  
http://fr.rd.yahoo.com/*http://blog.uggy.org  
http://g.msn.com/0MNBUS00/1?http://blog.uggy.org  
http://chkpt.zdnet.com/chkpt/zdnetdoesnothing/blog.uggy.org  
http://landingstrip.dell.com/landingstrip/ls.asp?DURL=http://blog.uggy.org  
http://minerva.dce.harvard.edu/cgi-bin/redirect.cgi?url=http://blog.uggy.org  
http://r.aol.com/cgi/redir-complex?url=http://blog.uggy.org http://r.lycos.com/r/vn_swditarrx_csmqempf/http://blog.uggy.org

…et le meilleur pour la fin; un site bancaire…là c’est gavage pour les phishers qui peuvent rediriger vers le site tranquilement:

http://www.capitalone.com/redirect.html?linkid=SECURITY+VALIDATION&dest=http://IpPasCool/bin/capitalone.com/

Surbl suggère aux sites ayant des redirecteurs ( dans cette lettre ), de bloquer l’accès quand le lien suivi fait justement partie de la liste Surbl.