Продвинутый FTP-хакинг

Письмо получено от alpha.someone.com (alpha.someone.com [194.90.1.13]).

Быстрая проверка через базу данных InterNIC (печатаем «whois alpha.someone.com» без кавычек в системе Unix или загружаем SamSpade для Windows в www.samspade.org) показывает, что адрес принадлежит someone.com.

Далее, часть строки (alpha.someone.com [194.90.1.13]) указывает имя узла и IP-адрес сервера, с которого пришло письмо.

Ой-ой-ой! Мы же хотели, чтобы отправителем был microsoft.com . Точнее, bgates@microsoft.com! Может быть, нам стоило поставить microsoft.com вместо someone.com? Как вы думаете?

Еще одним «слабым местом» является GMT — временная зона по Гринвичу. +0000 (GMT) означает, что мы находимся в зоне «нулевого меридиана».

+0200 — это гринвичское время плюс 2 часа. Обязательно узнайте свою временную зону, чтобы впредь вы могли переключать эту опцию соответствующим образом.

Тут все понятно.

Received: from some.hostname.crap.com (some.hostname. crap. com [62.0.146.225]) by alpha.someone.com (8.9.3/8.8.6) with SMTP id CAA15313 for victim@victim.com; Sat, 10 Jul 2004 02:55:46 +0300 (IDT)

Здесь указан узел отправителя и IP-адрес address. Отмечу, что пользователи, подключенные к сети через телефонные модемы, имеют длинные имена узлов. Например, имя узла моей подружки в Израиле RAS4-p97.hfa.netvision.net.il.

Netvision.net.il — это ее ISP, a Hfa означает город Хайфу.

То есть сразу видно, что она выходит в сеть через сервер Хайфы, принадлежащий подсети Netvision. Всегда обращайте внимание на имена узлов.

Как видите, имя узла, с которого пришло письмо, не принадлежит microsoft.com. Почтовый сервер, пославший письмо, не относится к поддомену microsoft. Это говорит о том, что наше письмо поддельное.

[Иногда почтовые серверы не указывают имя узла. Но вы всегда можете получить IP-адрес. Вы можете найти имя узла по IP (большинство IP имеют имя узла), скомандовав «nslookup ip- address» (без кавычек) в системе Unix или указав http://www.samspade.org и использовав инструмент просмотра (Lookup Tool) их DNS.

Если и в этом случае вы ничего не получите, то проведите процедуру whois.]

Чтобы преодолеть возникшую проблему, вам нужно:

1) Послать это письмо с Sendmail сервера Microsoft.

2) Послать это письмо с аккаунта, который подключен к сети через Microsoft.

Если вы на это неспособны, магистрали вашего письма покажут, что оно было послано не от Microsoft. Однако если ваша ISP — dp.ua, вы запросто можете отправить письмо от admin@dp.ua и оно будет на 100% подлинным!

Следующие несколько символов дают нам MID (Message ID — идентификатор сообщения). Помните, я обещал вернуться к нему? Допустим, вы считаете, что кто-то решил подшутить над вами и послал письмо с адреса негодяй@ваша.15Р.сот или него- дяй@15Р.с.которой.пришло.сообщение (в нашем случае — Microsoft.com) или негодяй@сервер.сохранивший.MID.com.

Чтобы узнать, какой сервер сохранил MID, нам нужно пропустить несколько строк (в нашем случае две: время и дату) и перейти непосредственно к:

Продвинутый FTP-хакинг

Message-ID: <200407092355. CAA15313@alpha.someone.com>

Ну-ка, посмотрим на эти интересные цифирки! И проверим С АА15313@alpha.someone.com!

Оказывается, вся информация о MID хранится в alpha.some- one.com!

Нам остается только направить сообщение него- дяю@а1рЬа.someone.com и рассказать о полученном поддельном письме, включив в него все магистрали. Такое же письмо мы должны отправить на ISP отправителя (в нашем случае отправителем является some.hostname.crap.com [62.0.146.225] и, значит, его ISP — crap.com).

Что мы видим дальше?

X-Authentication-Warning: alpha.someone.com: some.hostname.crap.com [62.0.146.225] didn’t use HELO protocol

Проклятье! Это же (предупреждение! Какой-то тип «some.hostname.crap.com [62.0.146.225]» (то есть мы с вами) не использовал протокол HELO! Что получится, если мы повторим отправку поддельного письма, но на этот раз напечатаем в начале: НЕЮ microsoft.com?

Сервер ответит:

250 mailgwl.netvision.net.il Hello some.hostname.crap.com [62.0.146.225], pleased to meet you (рад встречи с вами).

Что получит наша жертва — victim@victim.com ? Ура! Никакого X-Authentication-Warning!

Давайте подведем итоги. Вы узнали, как подшучивать над друзьями, й поняли, с какой легкостью вас могут поймать на незаконной хакерской активности. Но неужели нельзя скрыть ваши имя узла и IP-адрес? Конечно, можно! Легко! Однако всему свое время!

Обсуждение закрыто.