уторак, 21. мај 2013.

Botnet bloggera- spam i ko ga šalje





Od kako sam otvorila ovaj blog ne mogu da se oslobodim spama. Dok je spam bezazlen nemate velikih problema. Ali postoji mogućnost ulaska u kompjuter što baš i nije bezopasno. Zbog toga sam odlučila da jedan post posvetim toj problematici pretpostavljajući da je svaka informacija sa ovog područja korisna.

Šta je spam i ko ga šalje?


Spam je poruka poslana na jednu ili više (hiljada) adresa bez unapred dobivenog dopuštenja osobe koja je/ih dobila.

Šalju ga obično kompanije ili  multimarketinške sheme, reklamiraju pornografiju, ili mame čitatelja jeftinim proizvodima. Razlog je jeftiniji način reklamiranja. Kod slanja spama često se koriste prljavi trikovi. Adrese se skupljaju s useneta, koji je odlično mesto za pronalaženje milionana adresa, a onda se koriste automatizovane skripte kojima je jedini cilj skupljanje javno izloženih mail adresa ne web stranicama u svrhu spamanja.

Problem sa spanom na e-mailu rešava se lako, dok je pitanje spama na blogovima nerešivo. Jedini savet na blogerovoj diskusionoj grupi je NE otvarajte ( klikčite) ČUDNE ADRESE.


Najnovije Miscellaneous Malice dolaze sa adresa :
topblogstories.com
filmhill.com
fillhill.com
flf-course.com
vampirestat.com
zombiestat.com

U ovoj analizi će biti reči samo o prvoj adresi.

 

Topblogstorie je uparkirana na 46.45.183.133 u Turskoj. Nedavno je registrovana domena  pornografske web stranice sa strukturom direktorija od preko 80.000 URL-ova.
 
 
 
Vlasnik web stranice je, Annette Sciverita pored ove ima zabeležen veći broj domena između kojih se nalaze :

 
 
billimarcelia.com
delanessy.com
midgewenonah.com
alethealeeanne.com
junettewilmette.com

delcinefawnia.com

SERVERI

Domene se distribuiraju preko dvanaest različitih servera i učvrstila se na sedam različitih IP adresa u Kini, na Karibima, Sjedinjenim Američkim Državama i Francuskoj :

NS1.HERMINIABENITA.COM
NS2.ROANNAFRANKY.COM
NS1.LEXIEDORTHY.COM.ARDELETED.COM
NS2.CASSYCARLOTA.COM
NS1.HAILEEGUIKELCY.COM
NS2.NELLEHILDEGARDE.COM
NS1.BELCATHARINA.COM
NS2.JACQUELYNNERMENGARDE.COM
NS1.BOBBYEREY.COM
NS2.MADLINEVYTHEA.COM
NS1.BILLIMARCELIA.COM
NS2.BILLIMARCELIA.COM|











121.33.219.18ChinaCHINANET Guangdong province network
208.91.197.101British Virgin IslandsConfluence Networks Inc
221.231.126.164ChinaYancheng Soil VPDN
60.219.166.218ChinaChina Unicom Heilongjiang Province Network
60.223.247.175ChinaChina Unicom Shanxi Province Network
69.89.12.133United StatesStrategic Systems Consulting
193.105.210.213   France                            My Canadian Pharmacy
 

 
YUMBO FINANSIJSKI KRUG




Dva domena registrovana na ime Sciverit imaju trenutno dodeljen mail server u Singapuru i Sjedinjenim Američkim Državama.


Oba slučaja, to jest obe IP adrese su odnedavno, na popisu Spamhaus sa linkovima za farmaceutske spamove i kriminal Yambo Financijskog prstena. Ova kriminalna grupa je na samom vrhu cyber kriminala i poznati su upravo sa programom Kanadske apoteke sa lažnim i nezakonitim adresama apoteka preko kojih se prodaju 100% lažni farmaceutski proizvodi najčešće dobavljeni iz Indije (a uvek se tvrdi da je iz Kanade).  Preko njih se vrše i druge kriminalne radnje. Oni su direktno povezani sa nekoliko teških zločina, uključujući prodaju i distribuciju dečije pornografije. Imena koja se spominju su  Yegor G. Bugaenko, braća Anton Denysenko i Sergey Denisenko i Christina Reese
( videti detalje o adresama Yamba u Ukrajini i Litvaniji na blogu The New Frontier)

 

 
 
BOT MREŽA ~SUBDOMEINI
 
Kod analize HTTP razgovora s početnom referentnom stranicom topblogstories.com, uočava se velik broj blogspot poddomena.
 
Botnet je skup zaraženih računara koji su daljinski kontrolisani od strane hakera. Jednom kada je računar zaražen, zlonamerna osoba ga može kontrolisati sa udaljene lokacije tj. preko Interneta. Taj računar tada postaje „zombi". Skup takvih računara se zove botnet i omogučava zlonamernim ljudima da preko njih sprovedu razne akcije, najčešće vrlo opasne. Na primer, može se koristiti za masovno slanje neželjene pošte i postoje mišljenja da se preko 90% spama pošalje na ovaj način. Ovo omogućava stvarnim spamerima da ostanu neotkriveni, a njihovi serveri da ne budu stavljeni na crne liste, da bi se time sprečila dalja distribucija neželjene pošte.



Zlonamerni hakeri mogu iskorisiti botnet i zombije za lansiranje DoS (engl. Denial-of-Service) ili DDoS napada (engl. Distributed Denial-of-Service). U ovakve napade mogu biti uključene hiljade računara, lociranih na različitim lokacijama, koji pokušavaju da pristupe istom Web sajtu simultano i time najčešće uspevaju da „iscrpe" performanse web servera, koji nije u stanju da odgovori na sve zahteve, pa postaje nepristupačan.
Ovo je samo deo bogatog „arsenala" koje danas koriste mreže zlonamernih ljudi, koje su često vrlo dobro organizovane, opasne i spremne na svašta. Ako vaš računar postane deo ovakve mreže, to nije nimalo prijatna situacija, iako čak možda i niste svesni.

 
 
 
 Veza sa blogovima Bloggera se ostvaruje preko fotografija koje imaju veliki broj gledanja.
 
 
 Ovim zaobilaznim putem  IP od glavnog servera je čist, njegovi rDNS (46-45-183-133.turkrdns.com) rešavaju uslugu. U konačnici slike na linkove, na inače legitimnim blogovima, su obavljaju poslove SEO kampanje čiji je cilj povećanje tražnje za topblogstories.com.
 
Dodatak:
 
U poslednje vreme, ovim spamerima, priključili su se hrvatske firme sa reklamama za svoje proizvode i usluge.
Ukoliko ste oslobodili prolaz komentarima preporučujem redovnu kontrolu ( kolone) KOMENTARA,  pošto se ove reklame ostavljaju na stare postove.
Pojedini komentari završe kao spam u neobjavljenim ( komentarima) ali dosta njih proleti barijeru i završi u objavljenim komentarima.  

1 коментар:

  1. Анониман21. мај 2013. 19:06

    Pa budi bloger, prosvećuj narod.
    A kako si uspela da sve ovo otkriješ?
    Peđa
    Idem na srčane bolesti, hehe...Da vidim šta si tamo zbućkala.

    ОдговориИзбриши