Těch adres je skutečně spousta z celého světa, namátkou
200.147.5.37 - Brazílie
211.197.202.128 - Korea
150.140.168.106 - Řecko
Něco může (a nemusí) naznačovat to, že obrázky se berou ze serveru http://www.citibank.ru/russia/pic/com/logo2.gif
Je s podivem, že si s tím vůbec nějaký mailový klient poradil, protože to UTF-8 kódování je úplně špatně.
V hlaviče těla html mailu je uvedeno:
META content="MSHTML 6.00.2800.1106" name=GENERATOR
což by vypadalo na Outlook Express 6.0SP1.
Zajímavější je, kde se vlastně sbírala ta hesla:
citi-online.czechrepublic-online.com. 1800 IN A 65.34.41.53 (USA, San Francisco DSL)
citi-online.czechrepublic-online.com. 1800 IN A 12.220.165.161 (USA)
citi-online.czechrepublic-online.com. 1800 IN A 12.221.240.52 (USA)
citi-online.czechrepublic-online.com. 1800 IN A 24.215.237.58 (USA)
citi-online.czechrepublic-online.com. 1800 IN A 64.53.175.197 (Naperville, USA)
No a co tam běží podle nmapu:
Interesting ports on c-65-34-41-53.hsd1.fl.comcast.net (65.34.41.53):
(The 1652 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.55 ((FreeBSD) PHP/5.1.2)
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1025/tcp open msrpc Microsoft Windows msrpc
1026/tcp open LSA-or-nterm?
1080/tcp filtered socks
5000/tcp open upnp Microsoft Windows UPnP
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Pro or Advanced Server, or Windows XP, Microsoft Windows XP SP1
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on 12-220-165-161.client.insightBB.com (12.220.165.161):
(The 1662 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.55 ((FreeBSD) PHP/5.1.2)
Device type: general purpose
Running: IBM AIX 4.X, Microsoft Windows 2003/.NET|NT/2K/XP
OS details: IBM AIX 4.3.2.0-4.3.3.0 on an IBM RS/*, Microsoft Windows Server 2003, Microsoft Windows XP SP2 (firewall enabled)
Interesting ports on 12-221-240-52.client.insightBB.com (12.221.240.52):
(The 1651 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.55 ((FreeBSD) PHP/5.1.2)
135/tcp filtered msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1025/tcp open msrpc Microsoft Windows msrpc
1032/tcp open iad3?
1080/tcp filtered socks
5000/tcp open UPnP?
5101/tcp open admdog?
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Pro or Advanced Server, or Windows XP, Microsoft Windows XP SP1
Interesting ports on user-0cdfr9q.cable.mindspring.com (24.215.237.58):
(The 1647 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.55 ((FreeBSD) PHP/5.1.2)
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
443/tcp open https?
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1025/tcp open msrpc Microsoft Windows msrpc
1026/tcp open msrpc Microsoft Windows msrpc
5000/tcp open upnp Microsoft Windows UPnP
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP, Microsoft Windows XP SP1
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-03-05 02:13 CET
Interesting ports on d53-64-197-175.nap.wideopenwest.com (64.53.175.197):
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE VERSION
37/tcp filtered time
53/tcp filtered domain
80/tcp open http Apache httpd 2.0.55 ((FreeBSD) PHP/5.1.2)
135/tcp open msrpc Microsoft Windows msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp open microsoft-ds Microsoft Windows XP microsoft-ds
641/tcp open ssl OpenSSL
Device type: general purpose
Running: Microsoft Windows 2003/.NET|NT/2K/XP
OS details: Microsoft Windows Server 2003 or XP SP2
Všechno jsou to Windows, zřejmě XP, a na všech běží nějaký web server, který se představuje jako "Apache httpd 2.0.55 ((FreeBSD) PHP/5.1.2)".
Zajímavé je, že na všech 5 počítačích doposud ten sběrač hesel běží.
Pokud si to sami chcete vyzkoušet, tak je to možné, i když z DNS už byla doména vyřazena. Stačí doplint do souboru C:\WINDOWS\HOSTS řádek 65.34.41.53 citi-online.czechrepublic-online.com a je to. (Takhle to funguje ve Windows 98, ve Windows XP je umístění souboru C:\WINDOWS\system32\drivers\etc\hosts a mám ten pocit, že je třeba restarovat, aby se načetl jeho obsah. We Win95/98/ME se našte ihned a bez rebootu.
Další kroky by měly vést k tomu, že příslušné vyšetřující orgány pokusí zjistit, odkud bylo těch 5 počítačů s Windows XP vyhackováno a kam měly odesílat zjištěné PINy. Zřejmě to bude ale zase jen řetěz hacknutých počítačů a anonymních kont.
Na uvedeném případě je vidět, jaké zlo jsou počítače s děravým operačním systémem vysokorychlostně připojené k síti. Posílá se přes ně spam i tyto rhybářské maily, sbírají se přes ně hesla atd.
Jediná řešení tohoto problému by byla velice drastická a asi nikdo k nim nebude mít odvahu.