Spam et honeypots, petit exemple

Bonjour,


** Abstract: Voici un petit exemple simple de spam et de moyen
permettant de traquer l'IP qui a effectuée la récupération des emails.


** Pré-requis des spammers:

Les spammers veulent des emails et remplissent des bases de données
avec. Pour cela différentes méthodes sont utilisées.

Notamment, ils vont sur les sites web et recherchent des champs HTML "<
href=mailto:xxx@yyy.zzz>" pour collecter des adresses.

Sur le site frenchhoneynet.org, de manière temporaire, j'ai changé le
bas de la page, avec une adresse email dynamiquement générée, contenant
l'IP du client, le jour, l'heure, les minutes.

Ces adresses emails sont filtrés lorsque quelqu'un les utilisent.


** Analyse d'un petit exemple

Ce matin ("un lapin.."), j'ai reçu le mail suivant (rendu plus anonyme
par endroit ; ce ne sont pas les vraies données copiées/collées) :

-------------------8<------------------------8<----------------------------
From - Sun Nov 23 09:38:56 2003
Return-Path: <xxxxxx@xxxxxxxxx.it>
(...)
Received: from 62.80.122.198 (unknown [213.176.81.230])
by glenlivet.gandi.net (Postfix) with SMTP id CFDB34477F8
for <216.138.217.106_03-11-15-202-spam@frenchhoneynet.org>; Sun, 23 Nov
2003 05:56:20 +0100 (CET)
Received: from [71.129.206.209] by 62.80.122.198 with SMTP; Sun, 23 Nov
2003 09:51:04 +0500
Message-ID: <2q49epx$z5$422z2o--4@yp9bd.5mgn>
From: "Merrill Beatty" <xxxxxx@xxxxxxxxx.it>
Reply-To: "Merrill Beatty" <xxxxxx@xxxxxxxxx.it>
To: <216.138.217.106_03-11-15-202-spam@frenchhoneynet.org>
Subject: No more visits to your doc. fam
Date: Sun, 23 Nov 03 09:51:04 GMT
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="A.1BC_F_._D.4F7__E."
X-Priority: 3
X-MSMail-Priority: Normal


--A.1BC_F_._D.4F7__E.
Content-Type: text/plain;
Content-Transfer-Encoding: quoted-printable

cognitive

Our US Licensed Doctors will Prescribe Your Medication For Free
And Have the Medication Shipped Overnight To Your Door Overnight!
Lowest Prices!
(...)
-------------------8<------------------------8<----------------------------

Le mail a donc été envoyé à
216.138.217.106_03-11-15-202-spam@frenchhoneynet.org

Ce qui signifie que celui qui a collecté cette adresse email avait
l'adresse IP : 216.138.217.106, c'était le 25 nov dernier, vers 2h AM

En recherchant dans les logs je retrouve donc :
216.138.217.106 - - [15/Nov/2003:02:02:30 +0200] "GET /contacts.php
HTTP/1.1" 200 2016 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT;
DigExt; DTS Agent" - honeynet.rstack.org

- Pas de REFERER, arrivée directement sur /contacts.php (utilisent-ils
un truc du style allinurl:contacts sur google ?)

- Un browser web soit disant : "Mozilla/4.0 (compatible; MSIE 5.0;
Windows NT; DigExt; DTS Agent"

- On rigolera de voir le client mail utilisé (autre fausse info) :
X-Mailer: Microsoft Outlook Express 5.50.4133.2400

etc, etc.


** Conclusions

Les spammers continuent de fouiller vos pages web à la recherche de
champs "mailto" pour vous inscrire automatiquement aux ML.

Ils lisent aussi les news (d'ailleurs je suis en train de me faire
chopper si ça se trouve), et bien d'autres sources.

Si les honeypots (pots de miel, leurres informatiques) vous intéressent,
vous pouvez rejoindre la mailing liste publique du french honeynet
project (voir http://honeynet.rstack.org/community.php).

Cette initiative française était annoncée dans le dernier MISC 10
(http://www.miscmag.com/). MISC a appuyé fortement sa création.
[couv MISC10: http://www.miscmag.com/articles/Images/misc-last.jpg]

Comme je dis toujours,

Life is short,
Play hard.

laurent