La historia del proxy perdido

Sí, me ha pasado. Me he dejado mi server proxy abierto, alguien lo ha encontrado, y ha empezado a mandar spam desde él.

No recuerdo en qué blog leía hace tiempo sobre programas que, a modo de estructura P2P iban probando todos las las IP’s posibles para encontrar proxies abiertos y meterlos en grandes listas y bases de datos. Probaban todos los rangos de IP’s, excluyendo algunos “peligrosos”. Entre estos peligrosos estaban por ejemplo los rangos utilizados por ejércitos de todo el mundo, los de las diferentes policías de Europa y EEUU, … en resumen, todos aquellos que tengan bastante más peligro de ser un precioso cuenquito de miel.

En este caso el tema no son los honeypots ni los proxypots, vengo a admitir, que me acaba de pasar lo que ya comentó Chema Alonso, en su post de su blog http://www.elladodelmal.com/. Resulta, que haciendo unas pruebas para confirmar una pequeña certidumbre, me vi con la necesidad de instalar un proxy en mi servidor. Lo instalé, probé lo que quería probar, y ahí lo dejé.


 



Todo normal, hasta que este mediodía me intento loggear en mi servidor. Parece que está apagado, ¡Qué raro! Cuando los apagan por mantenimiento, siempre nos avisan... Esperé un ratito, y como veía que la cosa no se solucionaba, fuí a mi panel, y me encuentro que el servidor está suspendido. Me dirijo a la zona de avisos y veo lo siguiente:


Carlos;

This ticket is notification that your service with us (XXX.XXX.XXX.XXX) is now suspended for the following TOS/AUP infractions:

- Unsolicited Communications

As this is your first offense, no further administrative action will be taken. Upon your reply to this ticket, the service will be reactivated and you will have 24 hours to resolve this issue. Please be aware that further abuse reports after this time frame will constitute a second offense, resulting in suspension and a TOS/AUP Violation Fine.

Logs of the abuse follow:



[ SpamCop V4.6.2.001 ]
This message is brief for your comfort. Please use links below for details.

Email from XXX.XXX.XXX.XXX / Sun, 13 Jan 2013 17:27:29 PDT
http://www.spamcop.net/w3m?i=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

[ Additional comments from recipient ]
> Illegal Advanced Payment Fee Scam.
[ Offending message ]
Return-Path: <000sw0@att.net>
Received: from [98.139.52.188] by nm9.bullet.mail.ac4.yahoo.com with NNFMP; 14 Jan 2013 00:27:29 -0000
Received: from [66.94.237.100] by tm1.bullet.mail.ac4.yahoo.com with NNFMP; 14 Jan 2013 00:27:29 -0000
Received: from [127.0.0.1] by omp1005.access.mail.mud.yahoo.com with NNFMP; 14 Jan 2013 00:27:29 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 643283.57256.bm@omp1005.access.mail.mud.yahoo.com
Received: (qmail 25625 invoked by uid 60001); 14 Jan 2013 00:27:29 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=att.net; s=s1024; t=1350865649; bh=2X1m7W321iEfHXV/qFl+HjligzgltDo7on9LxQ4jRZ0=; h=X-YMail-OSG:Received:X-Rocket-MIMEInfo:X-Mailer:Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type; b=oczZdAPQiNatHf5RUknI0izFjbmkXYjKTi3lOhUqvFEBlqPaojHdSNlmOgqlE+kZo3/2hs8iO0dvV

+Flw7GDlnkpTbyn5YCZK/usQjVZbSNTn2pTlYz22Rb1rnURuGT70sv1gzcmsXd+ZGkthD3ucSlBYdK4RAnVwsUbxM5bEio=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=att.net;
h=X-YMail-OSG:Received:X-Rocket-MIMEInfo:X-Mailer:Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type;
b=HlZsgeBIk10RIWibuyL7XiL269nnY9gdHtXy9OqEI2qZcs6LB5cGriTFLqS8yaUvfRz+LsmU94oIxvWohL5lHIwANqvJqJFlc

+zoJf/VzIxNhUMSvsjpYX91ZwBNYZs0X+NjZq+kqJS/VehpdcVlGnk1M/c2O0tZN9N4vAwnMXk=;
X-YMail-OSG: CmvhEegVM1kzlrieSaiJpb._.F1WC5GwYKLtHjFCCbOaJU7
WCxxrZjsjuYEzGMG09nXjW63CYgoKUM48yekerAeC9NqKhtVIWem6l2HxLwJ
tn_E.pUF.TzBQGcfIlL0EP2OGR57XoAL9UJpXg6zVYosQ6ck5qErKmPRZfXx
AblPZLKKBDUR6OCswqVR34vuWfU0xVA9K5CUeQJqT2DdjcOx3nKWMrruVTfG
3lthHBPvwMsAFvWcuES2MJJdqeGedLxZLJYayMo0PFCbwRvMzgSZRZ_jEmEP
0Yz0bipyA.arcx2mCJen4c4MGzKBTGxEQL7vHY6xZXVfBQkapEog6w2hdLWg
QFnj8AjkO3zTmRcAnikRqhB36VqmMhqQ3GI_ZCm36FAtKVSS3XYVx1N_SzVO
yL0gYcf7mhhhYRYW9lXuc3.edxWWQLn9mpkB6__s1k5gwGdbBmo9iAC9Xb8N
fDIrZh0CjUGw8rhhff4wf7W7h9wT32nuG_bVHVDJ9eQlOblPCko.PaTrr0NF
8De93C9XtE0fgcCG_i5f6OBQrTJJjDg--
Received: from [XXX.XXX.XX.XX] by web181102.mail.ne1.yahoo.com via HTTP; Sun, 13 Jan 2013 17:27:29 PDT
X-Rocket-MIMEInfo: 001.001,R3JlZXRpbmdzIQ0KCgoKCgoKCgoKCgoKCgoKCk15IG5hbWUgaXMgWm9iaXJhLEkgZ290IHlvdXIgSUQgb25sa

W5lIAp0b2RheS4gV2hlbiBhbSBzZWFyY2hpbmcgZm9yIGEgcGFydG5lciB3aXRoIHdob20gSSB3b3VsZCBsaWtlIHRvIGJ1aWxkIA
psYXN0aW5nIHJlbGF0aW9uc2hpcHMuDQoKCgoKCgoKCgoKCgoKCgoKRmlyc3RseSxpdCBpcyBteSBwbGVhc3VyZS
B0byB3cml0ZSB5b3UgCmFuZMKgIGl0IHdpbGwgYWxzbyBwbGVhc2UgbWUgdG8ga25vdyBtb3JlIGFib3V0IHlvdS
wgaWYgeW91IHdpc2ggdG9vLiABMAEBAQE-
X-Mailer: YahooMailClassic/15.0.8 YahooMailWebService/0.8.123.450
Message-ID: <1350_________________________ssic@web181102.mail.ne1.yahoo.com>
Date: Sun, 13 Jan 2013 17:27:29 -0700 (PDT)
From: zobira k <000sw0@att.net>
Reply-To: zobirakiki62@yahoo.com
Subject: Greeting from zobira
To: undisclosed recipients: ;
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="431184223-425248257-1350865649=:12725"
--431184223-425248257-1350865649=:12725 Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: quoted-printable

Greetings! My name is Zobira,I got you= r ID online =0Atoday.

When am searching for a partner with whom I would like to build alasting relationships.

Firstly,it is my pleasure t= o write you =0Aand=A0 it will also please me to know more about you, if you wish too.
I Awill send you my pictures and further details about me.when= you sent me =0Aan answer.

I know a true friend is a gift from God.

Hope to hear from you,God b= less you

Your's Sincerely,

Miss Zobira 






Como podeis ver, se trata de un mensaje de Spam intentando hacer algún tipo de timo. Podeis ver los códigos de tiempo, los “-0700 pdt” son de la costa oeste de Estados Unidos, donde está mi servidor, y también los de Yahoo; sin embargo, también hay código de europa “-0000”, en la parte de mensajes recibidos.

Received: (qmail 25625 invoked by uid 60001); 14 Jan 2013 00:27:29 -0000

Por último, me ha parecido interesante echarle un vistazo a las IP’s que aparecen en el mensaje:

98.139.52.188 ----> USA propiedad de yahoo.
66.94.237.100 ----> USA propiedad de yahoo.

Respecto a los dominios:

att.net ----> Empresa de telefonía AT&T powered by yahoo.

Sobre la localización tengo pocas pistas, pero podemos deducir en base al charset que...

charset=iso-8859-1

Es el charset utilizado para los siguientes idiomas: afrikáans, alemán, castellano, español, catalán, euskera, aragonés, asturiano, danés, escocés, feroés,finés, francés, gaélico, gallego, inglés, islandés, italiano, Holandés, noruego, portugués y sueco. Fuente: http://es.wikipedia.org/wiki/ISO_8859-1 Lo cual tampoco nos dice mucho.


Por desgracia no he tenido la oportunidad de guardar ningún log del servidor. Aunque previo aviso a mi compañía de servidores, no descarto loggear por completo las actividades de algún estafador para la próxima.


Todo esto nos enseña dos cosas:

1. Nadie va a probar justo mi IP, no es un pensamiento válido. Al menos en lo que a IPv4 se refiere.
2.  Siempre conviene tomar unas mínimas medidas y poner una contraseña, sea lo que sea. Aunque pensemos por pura probabilidad que es una pérdida de tiempo.

 

0 comentarios:

Publicar un comentario en la entrada

ShellShock Labs es un blog dedicado a seguridad y hacking en general, un lugar donde buscamos que la gente participe con sus opiniones.

Síguenos




Posts Populares