Где искать доказательства. Трассировка e-mail на базе Web

Что может произойти

Трассировка e-mail на базе Web

Учетные записи e-mail на основе Web (Webmail) могут еще больше ослож­нить установление идентичности отправителя. Можно создавать новую се­тевую учетную запись Webmail каждый раз, когда понадобится послать сооб­щение e-mail. Многие лица используют бесплатные учетные записи e-mail, доступные на следующих сайтах:

• http://www.hotmail.com/» http://www.hushmail.com

• http://mail.yahoo.com/

• http://www.lycosmail.com

Большинство этих сайтов поддерживают IP-адрес источника каждого со­единения, которое обращается к сетевой Webmail. Крайне важно иметь связь с этими организациями. Наличие точки контакта существенно для по­нимания, как получить желательную информацию о подписчике. Однако это не всегда возможно. Например, Hush.com обещает пользователям, что сайт не использует cookies и что Hush никогда не записывает IP-адреса по­льзователей таким образом, что они могут быть связаны с адресами e-mail.

ВНИМАНИЕ Если вы получаете e-mail от Hotmail, то заголовки e-mail содержат ис­ходный IP-адрес в следующем формате: X-Originating-IP:[12.38.29.235].

Вы получаете сообщение e-mail, показанное на рис. АЛО. Адрес источника является, очевидно, фиктивный, но вам нужно определить, кто послал эту угрозу.

Так как вы получили подобное сообщение через Netscape Messenger, вы вы­бираете пункт меню View] Headers|All, чтобы определить реальный источ­ник сообщения. Далее показана информация заголовка из сообщения e-mail с угрозой:

1) Return-Path: <[email protected]>

Рис. А1О. Угрожающее поддельное сообщение e-mail

2) Received: from mx02.mrf.mail.rcn.net ([207.172.4.51]) by mta04.mrf.mail.rcn.net(InterMail vM.4.01.03.14 201-229-121-114-20001227) with ESMTP

id<20010416013359.SDEZ22651.mta04.mrf.mail.rcn.net@mx02.mrf.mail.rcn.net> for <[email protected]>;Sun, 15 Apr 2001 21:33:59 - 0400

3) Received: from 21-155-124-64.dsl.lan2wan.com ([64.124.155.21]) helo=snapper.lansters.com) by mx02.mrf.mail.rcn.net with esmtp

(Exim 3.16 #5) id 14oxtv-0002jQ-00 for [email protected]; Sun, 15 Apr 2001 21:33:59 - 0400

4) Received:from nobody@localhost) by snapper.lansters.com (8.11.3/8.9.3) id f3G1Xkq11863 for [email protected]; Sun, 15 Apr 2001 21:33:46 - 0400 (EOT) (envelope-from, [email protected])

5) X-Authentication-Warning: snapper.lansters.com: nobody set sender to [email protected] using -f

6) To: [email protected]

7) Subject: I have rOOt on your firewall

8) Message-ID: <[email protected]>

9) Date: Sun, 15 Apr 2001 21:33:46 -0400 (EOT)

10) From: [email protected]

11) MIME-Version: 1.0

12) Content-Type: text/plain; cha/-set=ISO-88,59-1

13) Content-Transfer-Encoding: 8bit

14) User-Agent: IMP/PHP IMAP webmail program 2.2.3

15) X-Mozilla-Status: 8001

16) X-Mozilla-Status2: 00000000

17) X-UIDL: [email protected]

18)

Файл заголовка для угрожающего сообщения e-mail указывает, что это сообщение прошло через три отдельных почтовых сервера:

• В строке 4 почта была впервые получена на snapper.lansters.com.

• В строке 3 snapper.lansters.com, чей IP-адрес будет 64.124.155.21, пере­сылает сообщение второму почтовому серверу mx02.mrf.mail.rcn.net.

• В строке 2 mx02.mrf.mail.rcn.net, чей IP-адрес будет 207.172.4.51, пере­сылает e-mail конечному почтовому серверу mta04.mrf.mail.rcn.net.

• Строка 8 показывает ID сообщения 987384826.3ada4bfalOb99, кото­рое вы будет искать в почтовых журналах на почтовом сервере snap-per.lansters.com.

• Строка 14 указывает, что составителем угрожающего e-mail использо­ван почтовый агент на основе Web для составления сообщения. Поэтому можно найти доказательства, такие как IP-адрес составителя в журналах доступа Web в системе snapper.lansters.com.

ВНИМАНИЕ Отметим, что самый последний сервер e-mail, выполнивший до­ставку сообщения, находится в верхней части заголовка e-mail. Вы хотите получить почтовые журналы из первого почтового сервера, упомянутого в заголовке, который будет последним сервером, встретившимся при считывании заголовка e-mail сверху вниз.

В заголовке не существует данных, показывающих IP-адрес источника, ко­торый составил e-mail. Так как это сообщение e-mail нарушает уголовное за­конодательство, то вы пересылаете информацию агентам ФБР, которые вы­писывают судебный ордер для извлечения журналов соединений из первого почтового сервера, передающего сообщение: snapper.lansters.com (64.124.155.21). В результате судебного ордера вы сможете просмотреть сле­дующий имеющий отношение к делу фрагмент почтового журнала. Помни­те, что вас интересуют записи в почтовом журнале, содержащие ID сообще­ния 987384826.3ada4bfalOb99, который был идентифицирован в заголовке e-mail.

1) Apr 15 21:33:46 snapper sendmail[11863]: f3G1Xkq11863: [email protected], size=453, class=0, nrcpts=1, msgid=< 987384826.3ada4bfa10b99 @secure.code-monks. com>, relay=nobody@localhost

2) Apr 15 21:33:47 snapper imapd[11861]: Logout user=mtpepe host=localhost.lansters.com [127.0.0.1] -

3) Apr 15 21:33:47 snapper imapd[11866]: Authenticated user=mtpepe host=localhost.lansters.com [127.0.0.1]

4) Apr 15 21:33:56 snapper imapd[11866]: Logout user=mtpepe host=localhost.lansters.com [127.0.0.1]

5) Apr 15 21:33:57 snapper sendmail[11865]: f3G1Xkq11863:

[email protected],[email protected] (65534/65533),

delay=00:00:11,xdelay=00:00:11, mailer=esmtp,

pri=30453,relay=mx.mail.rcn.net.

[207.172.4.98], dsn=2.0.0, stat=Sent

(OK [email protected])

Выделенный полужирным текст в строке 1 показывает ID сообщения, идентичный тому, который присутствует в заголовке полученного сообще­ния. Поэтому можно сделать вывод, что эта запись журнала сделана атакую­щим. Отметим, что IP-адрес источника соединения отсутствует. Это связано с тем, что атакующий использует для отправки e-mail интерфейс на основе

Web. Именно поэтому строки 2, 3, и 4 показывают записи демона IMAP (imapd). Строка 14 в заголовке e-mail показывает, что атакующий использу­ет IMAP для отправки сообщения. Таким образом, чтобы обнаружить IP-ад­рес атакующего, необходимо идентифицировать соответствующие записи журнала в журналах Web-доступа, полученных от snapper.lansters.com. Да­лее показаны соответствующие записи в журналах Web-доступа, найденных в системе.

1) 12.38.29.235 - - [15/Арг/2001:21:32:35 -0400] "GET

/webmail/imp/compose.php3?uniq=987384510169 НИР/1.1" 200 15364

2) 12.38.29.235 - - [15/Арг/2001:21:32:46 -0400] "GET

/webmail/imp/status.php3?language=en&message=Message+Composition &status=green HTTP/1.1" 200 1027

3) 12.38.29.235 - - [15/Apr/2001:21:33:46 - - 0400] "POST

/webmail/imp/compose.php3?uniq=5439335813ada4bb339f76 HTTP/1.1" 200 628

4) 12.38.29.235 - - [15/Apr/2001:21:33:56 - - 0400] "GET /webmail/imp/status. php3?language=en&message=Mes'sage+sent+successfully. &status=green HTTP/1.1" 200 1034

Строка 1 фрагмента показывает начальное соединение с программой Webmail с IP-адреса 12.38.29.235. Теперь мы имеет направление для исследо­вания. Можно выполнить nslookup и получить FQDN системы, выполнить traceroute для поиска географического расположения системы и запросить базу данных Whois, чтобы определить, за кем система зарегистрирована.

Дата добавления: 2014-01-07; Просмотров: 673; Нарушение авторских прав?; Мы поможем в написании вашей работы!