Pratique pour générer des stats à partir de scripts…

$ sudo apt-get install geoip-bin bind9-host
$ geoiplookup 213.41.120.195
GeoIP Country Edition: FR, France
$ geoiplookup 216.239.59.99
GeoIP Country Edition: US, United States

J’ai besoin de réinjecter des spams pour faire des tests sur un serveur… mais l’utilisation de la commande mail ne suffit pas pour reinjecter les messages avec leurs en-têtes…

On utilisera donc la commande sendmail (Nom du binaire même pour Postfix):

for i in message.*; do cat "$i" | sendmail -f from@domain.tld to@domain.tld ;done

The Postfix sendmail command implements the Postfix to Sendmail compatibility interface > -f sender
Set the envelope sender address. This is the address where delivery problems are sent to, unless the message contains an Errors-To: message header.

Pour récupérer des spams “frais” il y a SpamArchive.org

wget ftp://spamarchive.org/pub/archives/submit/679.r2.gz

Et un petit script pour spitter le tout:

$ cat convert  
#!/usr/bin/perl -pl
if ( /^From / ) { close(OUT); open(OUT, ">>message.".$i++) || die "Can't open new file! $i "; select(OUT); print STDERR "Opened $i"; }
$
$ ./convert 679.r2

Dans la série: les spammeurs sont toujours à l’affût des meilleures ruses pour faire passer leurs spams..

Le mail s’affiche dans les clients mails comme ceci:

Spam20042005-1

On peut constater qu’une recherche normale de tokens ou de mots sera un échec car les mots sont étrangement découpés: “purchase” devient “pcruhase” etc.., il y a de fortes chances que le filtre voit le texte suivant au mieux:

Spam20042005-3

Pourquoi les mots écrits dans le source à l’envers, s’affichent à l’endroit (au moins dans les clients mail à base de moteur Html IE) ?

  • Le &#8238 sert a indiquer que l’affichage doit de faire de droite vers gauche comme pour du texte en Arabe ou en Hébreux etc..
  • et le &#8236 restaure la direction normale de gauche à droite!

Je dis: bien joué les spammeurs…

Un autre exemple pour du phishing:

Spam20042005-4

qui a pour source:

Spam20042005-5

Beaucoup (trop) de sites célèbres permettent d’utiliser des redirectors…

Ceci est utile aux spammeurs pour principalement 2 raisons:

  • L’utilisateur va avoir tendance à penser que le lien est sérieux, et donc a plus de chances de cliquer sur le lien. (Encore pire pour du phishing)
  • Cette technique permet de contourner les filtres anti-spams car les liens ne sont plus les originaux (exemple SURBL)

Quelques exemples valides à l’écriture de ce billet:

http://www.google.com/url?q=http://blog.uggy.org  
http://www.google.com/url?sa=U&start=1&q=http://blog.uggy.org&e  
http://www.microsoft.com/germany/businesssolutions/mbs_extern.asp?url=http://blog.uggy.org  
http://fr.rd.yahoo.com/*http://blog.uggy.org  
http://g.msn.com/0MNBUS00/1?http://blog.uggy.org  
http://chkpt.zdnet.com/chkpt/zdnetdoesnothing/blog.uggy.org  
http://landingstrip.dell.com/landingstrip/ls.asp?DURL=http://blog.uggy.org  
http://minerva.dce.harvard.edu/cgi-bin/redirect.cgi?url=http://blog.uggy.org  
http://r.aol.com/cgi/redir-complex?url=http://blog.uggy.org http://r.lycos.com/r/vn_swditarrx_csmqempf/http://blog.uggy.org

…et le meilleur pour la fin; un site bancaire…là c’est gavage pour les phishers qui peuvent rediriger vers le site tranquilement:

http://www.capitalone.com/redirect.html?linkid=SECURITY+VALIDATION&dest=http://IpPasCool/bin/capitalone.com/

Surbl suggère aux sites ayant des redirecteurs ( dans cette lettre ), de bloquer l’accès quand le lien suivi fait justement partie de la liste Surbl.

36645_thumb-multitail

Le site web est ici

Comme ctail d’un précédent billet, il permet d’afficher plusieurs fichiers de logs (par exemple mais ça peut aussi être des sorties de commandes) dans une même fenêtre… Il a des options en plus assez sympas.. un split vertical, des couleurs etc… j’ai aussi trouvé ce lien en français…