linux user group brescia
immagine del castello

Archivio della mailing list

[LugBS] progetto: SpamTrap

Andrea Gelmini andrea.gelmini a gmail.com
Gio 16 Giu 2011 15:16:53 UTC 
Il 15 giugno 2011 15:04, Rampage * <atomikramp a gmail.com> ha scritto:
> Gelma? sicuramente tu ci hai smanettato in passato ^^
>
> chiunque abbia dei suggerimenti da darmi è il benvenuto nella discussione :)

Bho, servirebbero piu' indicazioni precise sui risultati che vuoi
ottenere, comunque ti racconto
le possibilita' che con il tempo ho giocato:
a) metti in ascolto sulla 25 di un IP un servizio simil MTA che
accetta tutto.¹ Ocio, che è un attimo che ti saturano banda/storage.
Diciamo che la controindicazione è che gli spammer piu' stupidi si
attaccano a mandare lo stesso messaggio in quantita' industriale (a me
è capitato di fare 3GB di mail in meno di un quarto d'ora, tutte
uguali, e tutte allo stesso destinatario, dallo stesso IP). Quelli
intelligenti mandano un po' di mail a cazzo, e controllano l'avvenuta
ricezione per valutare se si tratti di un open relay vero;
b) ti mappi su un tuo IP i domini dinamici non piu' usati (sfrutti
google, magari con la funzione timewheel, e un po' di query DNS). Per
esempio, non è piu' possibile sfruttarlo, ma gelma.ath.cx era un
dominio spamtrap;
c) ti crei degli indirizzi email legati a tuoi domini veri, e li fai
girare in modo che se li piglino solo gli spammer. Banalmente,
pubblichi gli indirizzi sui rami di test di Usenet, oppure li piazzi
nel codice di qualche pagina web (questo viene fatto, per esempio,
negli archivi della mailing list del lug);
d) sfrutti indirizzi di GMail, Yahoo!, ecc, per fare quanto ti ha
suggerito gia' Claudio. Vale la stessa idea di propagazione;
e) gia' che ci sei puoi partecipare a http://projecthoneypot.org/

Viene poi la parte piu' interessante, ovvero l'analisi del tutto.
Ora, su spam e phishing c'è poco di interessante, sul malware invece
si possono imparare delle cose interessanti.²

Volendo puoi anche saltare tutta la parte sopra, e passare
direttamente ai malware.³

Ciao,
Gelma

---------------------
¹ In postfix trovi questo (con le opzioni che usavo all'epoca):
  smtp-sink -4 -c -d "%Y%m%d%H%M." -u check -R
/home/gelma.net/check/SpoolSpam/new/ -h lugbs.linux.it 25000 512
² http://www.gianniamato.it/2010/11/malware-analysis-a-case-study.html
  Il blog di Gianni è interessante anche sul resto.
³ http://www.oversecurity.net/2010/08/09/honeypots-rilascia-una-raccolta-di-malware-per-studiarli/

Maggiori informazioni sulla lista Lug