home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack / gtmhh1-4.txt < prev    next >
Encoding:
Text File  |  1997-09-25  |  20.7 KB  |  560 lines
  1. _______________________________________________________
  2.  
  3. GUIDE TO (mostly) HARMLESS HACKING
  4.  
  5. Vol. 1 Number 4
  6.  
  7. It's vigilante phun day! How get Usenet spammers kicked off their ISPs.
  8. _______________________________________________________
  9.  
  10. How do you like it when your sober news groups get hit with 900 number sex
  11. ads and Make Money Fast pyramid schemes? If no one ever made those guys pay
  12. for their effrontery, soon Usenet would be inundated with crud.
  13.  
  14. It's really tempting, isn't it, to use our hacking knowledge to blow these
  15. guys to kingdom come. But many times that's like using an atomic bomb to
  16. kill an ant. Why risk going to jail when there are legal ways to keep these
  17. vermin of the Internet on the run? 
  18.  
  19. This issue of Happy hacker will show you some ways to fight Usenet spam.
  20.  
  21. Spammers rely on forged email and Usenet posts. As we learned in the second
  22. Guide to (mostly) Harmless Hacking, it is easy to fake email. Well, it's
  23. also easy to fake Usenet posts.
  24.  
  25. *****************
  26. Newbie Note #1: Usenet is a part of the Internet consisting of the system of
  27. on-line discussion groups called "news groups." Examples of news groups are
  28. rec.humor, comp.misc, news.announce.newusers, sci.space.policy, and alt.sex.
  29. There are well over 10,000 news groups. Usenet started out in 1980 as a Unix
  30. network linking people who wanted -- you guessed it -- to talk about Unix.
  31. Then some of the people wanted to talk about stuff like physics, space
  32. flight, barroom humor, and sex. The rest is history.
  33. *****************
  34.  
  35. Here's a quick summary of how to forge Usenet posts. Once again, we use the
  36. technique of telnetting to a specific port. The Usenet port usually is open
  37. only to those with accounts on that system. So you will need to telnet from
  38. your ISP shell account back into your own ISP as follows:
  39.  
  40.     telnet news.myISP.com nntp
  41.  
  42. where you substitute the part of your email address that follows the @ for
  43. "myISP.com." You also have the choice of using "119" instead of "nntp." 
  44.  
  45. With my ISP I get this result:
  46.  
  47.     Trying 198.59.115.25 ...
  48.     Connected to sloth.swcp.com.
  49.     Escape character is '^]'.
  50.     200 sloth.swcp.com InterNetNews NNRP server INN 1.4unoff4 05-            Mar-96
  51. ready (posting)
  52.  
  53. Now when we are suddenly in a program that we don't know too well, we ask for:
  54.  
  55.     help
  56.  
  57. And we get:
  58.  
  59.     100 Legal commands
  60.           authinfo user Name|pass Password|generic <prog> <args>
  61.           article [MessageID|Number]
  62.           body [MessageID|Number]
  63.           date
  64.           group newsgroup
  65.          head [MessageID|Number]
  66.          help
  67.          ihave
  68.          last
  69.         list [active|newsgroups|distributions|schema]
  70.         listgroup newsgroup
  71.         mode reader
  72.         newgroups yymmdd hhmmss ["GMT"] [<distributions>]
  73.          newnews newsgroups yymmdd hhmmss ["GMT"]                         [<distributions>]
  74.           next
  75.           post
  76.           slave
  77.           stat [MessageID|Number]
  78.           xgtitle [group_pattern]
  79.           xhdr header [range|MessageID]
  80.           xover [range]
  81.           xpat header range|MessageID pat [morepat...]
  82.           xpath MessageID
  83.     Report problems to <usenet@swcp.com>
  84.  
  85. Use your imagination with these commands. Also, if you want to forge posts
  86. from an ISP other than your own, keep in mind that some Internet host
  87. computers have an nntp port that requires either no password or an easily
  88. guessed password such as "post." But-- it can be quite an effort to find an
  89. undefended nntp port. So, because you usually have to do this on your own
  90. ISP, this is much harder than email forging.
  91.  
  92. Just remember when forging Usenet posts that both faked email and Usenet
  93. posts can be easily detected -- if you know what to look for. And it is
  94. possible to tell where they were forged. Once you identify where spam really
  95. comes from, you can use the message ID to show the sysadmin who to kick out.
  96.  
  97. Normally you won't be able to learn the identity of the culprit yourself.
  98. But you can get their ISPs to cancel their accounts!
  99.  
  100. Sure, these Spam King types often resurface with yet another gullible ISP.
  101. But they are always on the run. And, hey, when was the last time you got a
  102. Crazy Kevin "Amazing Free Offer?" If it weren't for us Net vigilantes, your
  103. email boxes and news groups would be constantly spambombed to kingdom come.
  104.  
  105. And -- the spam attack I am about to teach you is perfectly legal! Do it and
  106. you are a certifiable Good Guy. Do it at a party and teach your friends to
  107. do it, too. We can't get too many spam vigilantes out there!
  108.  
  109. The first thing we have to do is review how to read headers of Usenet posts
  110. and email. 
  111.  
  112. The header is something that shows the route that email or Usenet post took
  113. to get into your computer. It gives the names of Internet host computers
  114. that have been used in the creation and transmission of a message. When
  115. something has been forged, however, the computer names may be fake.
  116. Alternatively, the skilled forger may use the names of real hosts. But the
  117. skilled hacker can tell whether a host listed in the header was really used.
  118.  
  119. First we'll try an example of forged Usenet spam. A really good place to
  120. spot spam is in alt.personals. It is not nearly as well policed by anti-spam
  121. vigilantes as, say, rec.aviation.military. (People spam fighter pilots at
  122. their own risk!)
  123.  
  124. So here is a ripe example of scam spam, as shown with the Unix-based Usenet
  125. reader, "tin."
  126.  
  127. Thu, 22 Aug 1996 23:01:56        alt.personals       Thread  134 of  450
  128. Lines 110   >>>>FREE INSTANT COMPATIBILITY CHECK FOR SEL   No responses
  129. ppgc@ozemail.com.au      glennys e clarke at OzEmail Pty Ltd - Australia
  130.  
  131. CLICK HERE FOR YOUR FREE INSTANT COMPATIBILITY CHECK!
  132. http://www.perfect-partners.com.au
  133.  
  134. WHY SELECTIVE SINGLES CHOOSE US
  135.  
  136. At Perfect Partners (Newcastle) International we are private and
  137. confidential.  We introduce ladies and gentlemen for friendship
  138. and marriage.  With over 15 years experience, Perfect Partners is one
  139. of the Internet's largest, most successful relationship consultants.
  140.  
  141.  
  142. Of course the first thing that jumps out is their return email address. Us
  143. net vigilantes used to always send a copy back to the spammer's email address.
  144.  
  145. On a well-read group like alt.personals, if only one in a hundred readers
  146. throws the spam back into the poster's face, that's an avalanche of mail
  147. bombing. This avalanche immediately alerts the sysadmins of the ISP to the
  148. presence of a spammer, and good-bye spam account.
  149.  
  150. So in order to delay the inevitable vigilante response, today most spammers
  151. use fake email addresses.
  152.  
  153. But just to be sure the email address is phony, I exit tin and at the Unix
  154. prompt give the command:
  155.  
  156.     whois ozemail.com.au
  157.  
  158. We get the answer:
  159.  
  160.     No match for "OZEMAIL.COM.AU"
  161.  
  162. That doesn't prove anything, however, because the "au" at the end of the
  163. email address means it is an Australian address. Unfortunately "whois" does
  164. not work in much of the Internet outside the US.
  165.  
  166. The next step is to email something annoying to this address. A copy of the
  167. offending spam is usually annoying enough. But of course it bounces back
  168. with a no such address message.
  169.  
  170. Next I go to the advertised Web page. Lo and behold, it has an email address
  171. for this outfit, perfect.partners@hunterlink.net.au. Why am I not surprised
  172. that it is different from the address in the alt.personals spam?
  173.  
  174. We could stop right here and spend an hour or two emailing stuff with 5 MB
  175. attachments to perfect.partners@hunterlink.net.au. Hmmm, maybe gifs of
  176. mating hippopotami? 
  177.  
  178. ***************************
  179. You can go to jail note! Mailbombing is a way to get into big trouble.
  180. According to computer security expert Ira Winkler, "It is illegal to mail
  181. bomb a spam.  If it can be shown that you maliciously caused a financial
  182. loss, which would include causing hours of work to recover from a spamming,
  183. you are criminally liable.  If a system is not configured properly, and has
  184. the mail directory on the system drive, you can take out the whole system.
  185. That makes it even more criminal."
  186. ***************************
  187.  
  188. Sigh. Since intentional mailbombing is illegal, I can't send that gif of
  189. mating hippopotami. So what I did was email one copy of that spam back to
  190. perfect.partners. Now this might seem like a wimpy retaliation. And we will
  191. shortly learn how to do much more. But even just sending one email message
  192. to these guys may become part of a tidal wave of protest that knocks them
  193. off the Internet. If only one in a thousand people who see their spam go to
  194. their Web site and email a protest, they still may get thousands of protests
  195. from every post. This high volume of email may be enough to alert their
  196. ISP's sysadmin to spamming, and good-bye spam account.
  197.  
  198. Look at what ISP owner/operator Dale Amon has to say about the power of
  199. email protest:
  200.  
  201. "One doesn't have to call for a 'mail bomb.' It just happens. Whenever I see
  202. spam, I automatically send one copy of their message back to them. I figure
  203. that thousands of others are doing the same. If they (the spammers) hide
  204. their return address, I find it and post it if I have time. I have no
  205. compunctions and no guilt over it."
  206.  
  207. Now Dale is also the owner and technical director of the largest and oldest
  208. ISP in Northern Ireland, so he knows some good ways to ferret out what ISP
  209. is harboring a spammer. And we are about learn one of them.
  210.  
  211. Our objective is to find out who connects this outfit to the Internet, and
  212. take out that connection! Believe me, when the people who run an ISP find
  213. out one of their customers is a spammer, they usually waste no time kicking
  214. him or her out.
  215.  
  216. Our first step will be to dissect the header of this post to see how it was
  217. forged and where.
  218.  
  219. Since my newsreader (tin) doesn't have a way to show headers, I use the "m"
  220. command to email a copy of this post to my shell account.
  221.  
  222. It arrives a few minutes later. I open it in the email program "Pine" and
  223. get a richly detailed header:
  224.  
  225. Path:
  226. sloth.swcp.com!news.ironhorse.com!news.uoregon.edu!vixen.cso.uiuc.edu!news.s
  227. tealth.net!nntp04.primenet.com!nntp.primenet.com!gatech!nntp0.mindspring.com
  228. !news.mindspring.com!uunet!in2.uu.net!OzEmail!OzEmail-In!news
  229. From: glennys e clarke <ppgc@ozemail.com.au>
  230. NNTP-Posting-Host: 203.15.166.46
  231. Mime-Version: 1.0
  232. Content-Type: text/plain
  233. Content-Transfer-Encoding: 7bit
  234. X-Mailer: Mozilla 1.22 (Windows; I; 16bit)
  235.  
  236. The first item in this header is definitely genuine: sloth.swcp.com. It's
  237. the computer my ISP uses to host the news groups. It was the last link in
  238. the chain of computers that have passed this spam around the world.
  239.  
  240. *******************
  241. Newbie Note #2: Internet host computers all have names which double as their
  242. Net addresses. "Sloth" is the name of one of the computers owned by the
  243. company which has the "domain name" swcp.com. So "sloth" is kind of like the
  244. news server computer's first name, and "swcp.com" the second name. "Sloth"
  245. is also kind of like the street address, and "swcp.com" kind of like the
  246. city, state and zip code. "Swcp.com" is the domain name owned by Southwest
  247. Cyberport. All host computers also have numerical versions of their names,
  248. e.g. 203.15.166.46.
  249. *******************
  250.  
  251. Let's next do the obvious. The header says this post was composed on the
  252. host 203.15.166.46. So we telnet to its nntp server (port 119):
  253.  
  254.     telnet 203.15.166.46 119
  255.  
  256. We get back:
  257.  
  258. Trying 203.15.166.46 ...
  259. telnet: connect: Connection refused
  260.  
  261. This looks a lot like a phony item in the header. If this really was a
  262. computer that handles news groups, it should have a nntp port that accepts
  263. visitors. It might only accept a visitor for the split second it takes to
  264. see that I am not authorized to use it. But in this case it refuses any
  265. connection whatever. 
  266.  
  267. There is another explanation: there is a firewall on this computer that
  268. filters out packets from anyone but authorized users. But this is not common
  269. in an ISP that would be serving a spammer dating service. This kind of
  270. firewall is more commonly used to connect an internal company computer
  271. network with the Internet.
  272.  
  273. Next I try to email postmaster@203.15.166.46 with a copy of the spam. But I
  274. get back:
  275.  
  276. Date: Wed, 28 Aug 1996 21:58:13 -0600
  277. From: Mail Delivery Subsystem <MAILER-DAEMON@techbroker.com>
  278. To: cmeinel@techbroker.com
  279. Subject: Returned mail: Host unknown (Name server: 203.15.166.46: host not
  280. found)
  281.  
  282. The original message was received at Wed, 28 Aug 1996 21:58:06 -0600
  283. from cmeinel@localhost
  284.  
  285.    ----- The following addresses had delivery problems -----
  286. postmaster@203.15.166.46  (unrecoverable error)
  287.  
  288.    ----- Transcript of session follows -----
  289. 501 postmaster@203.15.166.46...  550 Host unknown (Name server: 203.15.166.46:
  290. host not found)
  291.  
  292.    ----- Original message follows -----
  293. Return-Path: cmeinel
  294. Received: (from cmeinel@localhost) by kitsune.swcp.com (8.6.9/8.6.9) id
  295.  
  296. OK, it looks like the nntp server info was forged, too.
  297.  
  298. Next we check the second from the top item on the header. Because it starts
  299. with the word "news," I figure it must be a computer that hosts news groups,
  300. too. So I check out its nntp port:
  301.  
  302. telnet news.ironhorse.com nntp
  303.  
  304. And the result is:
  305.  
  306. Trying 204.145.167.4 ...
  307. Connected to boxcar.ironhorse.com.
  308. Escape character is '^]'.
  309. 502 You have no permission to talk.  Goodbye.
  310. Connection closed by foreign host
  311.  
  312. OK, we now know that this part of the header references a real news server.
  313. Oh, yes, we have also just learned the name/address of the computer
  314. ironhorse.com uses to handle the news groups: "boxcar."
  315.  
  316. I try the next item in the path:
  317.  
  318. telnet news.uoregon.edu nntp
  319.  
  320. And get:
  321.  
  322. Trying 128.223.220.25 ...
  323. Connected to pith.uoregon.edu.
  324. Escape character is '^]'.
  325. 502 You have no permission to talk.  Goodbye.
  326. Connection closed by foreign host.
  327.  
  328. OK, this one is a valid news server, too. Now let's jump to the last item in
  329. the header: in2.uu.net:
  330.  
  331.     telnet in2.uu.net nntp
  332.  
  333. We get the answer:
  334.  
  335.     in2.uu.net: unknown host
  336.  
  337. There is something fishy here. This host computer in the header isn't
  338. currently connected to the Internet. It probably is forged. Let's check the
  339. domain name next:
  340.  
  341. whois uu.net
  342.  
  343. The result is:
  344.  
  345. UUNET Technologies, Inc. (UU-DOM)
  346.    3060 Williams Drive Ste 601
  347.    Fairfax, VA 22031
  348.    USA
  349.  
  350.    Domain Name: UU.NET
  351.  
  352.    Administrative Contact, Technical Contact, Zone Contact:
  353.       UUNET, AlterNet [Technical Support]  (OA12)  help@UUNET.UU.NET
  354.       +1 (800) 900-0241
  355.    Billing Contact:
  356.       Payable, Accounts  (PA10-ORG)  ap@UU.NET
  357.       (703) 206-5600
  358. Fax: (703) 641-7702
  359.  
  360.    Record last updated on 23-Jul-96.
  361.    Record created on 20-May-87.
  362.  
  363.    Domain servers in listed order:
  364.  
  365.    NS.UU.NET                    137.39.1.3
  366.    UUCP-GW-1.PA.DEC.COM         16.1.0.18 204.123.2.18
  367.    UUCP-GW-2.PA.DEC.COM         16.1.0.19
  368.    NS.EU.NET                    192.16.202.11
  369.  
  370.  
  371. The InterNIC Registration Services Host contains ONLY Internet Information
  372. (Networks, ASN's, Domains, and POC's).
  373. Please use the whois server at nic.ddn.mil for MILNET Information.
  374.  
  375. So uu.net is a real domain. But since the host computer in2.uu.net listed in
  376. the header isn't currently connected to the Internet, this part of the
  377. header may be forged. (However, there may be other explanations for this, too.)
  378.  
  379. Working back up the header, then, we next try:
  380.  
  381. telnet news.mindspring.com nntp
  382.  
  383. I get:
  384.  
  385. Trying 204.180.128.185 ...
  386. Connected to news.mindspring.com.
  387. Escape character is '^]'.
  388. 502 You are not in my access file.  Goodbye.
  389. Connection closed by foreign host.
  390.  
  391. Interesting. I don't get a specific host name for the nntp port. What does
  392. this mean? Well, there's a way to try. Let's telnet to the port that gives
  393. the login sequence. That's port 23, but telnet automatically goes to 23
  394. unless we tell it otherwise:
  395.  
  396. telnet news.mindspring.com
  397.  
  398. Now this is phun!
  399.  
  400. Trying 204.180.128.166 ...
  401. telnet: connect to address 204.180.128.166: Connection refused
  402. Trying 204.180.128.167 ...
  403. telnet: connect to address 204.180.128.167: Connection refused
  404. Trying 204.180.128.168 ...
  405. telnet: connect to address 204.180.128.168: Connection refused
  406. Trying 204.180.128.182 ...
  407. telnet: connect to address 204.180.128.182: Connection refused
  408. Trying 204.180.128.185 ...
  409. telnet: connect: Connection refused
  410.  
  411. Notice how many host computers are tried out by telnet on this command! They
  412. must all specialize in being news servers, since none of them handles logins.
  413.  
  414. This looks like a good candidate for the origin of the spam. There are 5
  415. news server hosts. Let's do a whois command on the domain name next:
  416.  
  417.     whois mindspring.com
  418.  
  419. We get:
  420.  
  421. MindSpring Enterprises, Inc. (MINDSPRING-DOM)
  422.    1430 West Peachtree Street NE
  423.    Suite 400
  424.    Atlanta, GA 30309
  425.    USA
  426.  
  427.    Domain Name: MINDSPRING.COM
  428.  
  429.    Administrative Contact:
  430.       Nixon, J. Fred  (JFN)  jnixon@MINDSPRING.COM
  431.       404-815-0770
  432.    Technical Contact, Zone Contact:
  433.       Ahola, Esa  (EA55)  hostmaster@MINDSPRING.COM
  434.       (404)815-0770
  435.    Billing Contact:
  436.       Peavler, K. Anne  (KAP4)  peavler@MINDSPRING.COM
  437.       404-815-0770 (FAX) 404-815-8805
  438.  
  439.    Record last updated on 27-Mar-96.
  440.    Record created on 21-Apr-94.
  441.  
  442.    Domain servers in listed order:
  443.  
  444.    CARNAC.MINDSPRING.COM        204.180.128.95
  445.    HENRI.MINDSPRING.COM         204.180.128.3
  446.  
  447. *********************
  448. Newbie Note #3: The whois command can tell you who owns a domain name. The
  449. domain name is the last two parts separated by a period that comes after the
  450. "@" in an email address, or the last two parts separated by a period in a
  451. computer's name.
  452. *********************
  453.  
  454. I'd say that Mindspring is the ISP from which this post was most likely
  455. forged. The reason is that this part of the header looks genuine, and offers
  456. lots of computers on which to forge a post. A letter to the technical
  457. contact at hostmaster@mindspring.com with a copy of this post may get a result.
  458.  
  459. But personally, I would simply go to their Web site and email them a protest
  460. from there. Hmmm, maybe a 5 MB gif of mating hippos? Even if it is illegal?
  461.  
  462. But systems administrator Terry McIntyre cautions me:
  463.  
  464. "One needn't toss megabyte files back ( unless, of course, one is helpfully
  465. mailing a copy of the offending piece back, just so that the poster knows
  466. what the trouble was. )
  467.  
  468. "The Law of Large Numbers of Offendees works to your advantage. Spammer
  469. sends one post to 'reach out and touch' thousands of potential customers.
  470.  
  471. "Thousands of Spammees send back oh-so-polite notes about the improper
  472. behavior of the Spammer. Most Spammers get the point fairly quickly.
  473.  
  474. "One note - one _wrong_ thing to do is to post to the newsgroup or list
  475. about the inappropriateness of any previous post. Always, always, use
  476. private email to make such complaints. Otherwise, the newbie inadvertently
  477. amplifies the noise level for the readers of the newsgroup or email list."
  478.  
  479. Well, the bottom line is that if I really want to pull the plug on this
  480. spammer, I would send a polite note including the Usenet post with headers
  481. intact to the technical contact and/or postmaster at each of the valid links
  482. I found in this spam header. Chances are that they will thank you for your
  483. sleuthing.
  484.  
  485. Here's an example of an email I got from Netcom about a spammer I helped
  486. them to track down.
  487.  
  488. From: Netcom Abuse Department <abuse@netcom.com>
  489. Reply-To: <abuse@netcom.com>
  490. Subject: Thank you for your report
  491.  
  492. Thank you for your report.  We have informed this user of our policies, and
  493. have taken appropriate action, up to, and including cancellation of the
  494. account, depending on the particular incident. If they continue to break
  495. Netcom policies we will take further action.
  496.  
  497. The following issues have been dealt with:
  498.     santigo@ix.netcom.com
  499.     date-net@ix.netcom.com
  500.     jhatem@ix.netcom.com
  501.     kkooim@ix.netcom.com
  502.     duffster@ix.netcom.com
  503.     spilamus@ix.netcom.com
  504.     slatham@ix.netcom.com
  505.     jwalker5@ix.netcom.com
  506.     binary@ix.netcom.com
  507.     clau@ix.netcom.com
  508.     frugal@ix.netcom.com
  509.     magnets@ix.netcom.com
  510.     sliston@ix.netcom.com
  511.     aessedai@ix.netcom.com
  512.     ajb1968@ix.netcom.com
  513.     readme@readme.net
  514.     captainx@ix.netcom.com
  515.     carrielf@ix.netcom.com
  516.     charlene@ix.netcom.com
  517.     fonedude@ix.netcom.com
  518.     nickshnn@netcom.com
  519.     prospnet@ix.netcom.com
  520.     alluvial@ix.netcom.com
  521.     hiwaygo@ix.netcom.com
  522.     falcon47@ix.netcom.com
  523.     iggyboo@ix.netcom.com
  524.     joyful3@ix.netcom.com
  525.     kncd@ix.netcom.com
  526.     mailing1@ix.netcom.com
  527.     niterain@ix.netcom.com
  528.     mattyjo@ix.netcom.com
  529.     noon@ix.netcom.com
  530.     rmerch@ix.netcom.com
  531.     rthomas3@ix.netcom.com
  532.     rvaldes1@ix.netcom.com
  533.     sia1@ix.netcom.com
  534.     thy@ix.netcom.com
  535.     vhs1@ix.netcom.com
  536.  
  537. Sorry for the length of the list.
  538.  
  539. Spencer
  540. Abuse Investigator
  541. ___________________________________________________________________
  542. NETCOM Online Communication Services                   Abuse Issues
  543. 24-hour Support Line: 408-983-5970                     abuse@netcom.com
  544. **************
  545.  
  546. OK, I'm signing off for this column. I look forward to your contributions to
  547. this list. Happy hacking -- and don't get busted!
  548.  
  549. __________________________________________________________________
  550.  
  551. Want to share some kewl stuph? Tell me I'm terrific? Flame me? For the first
  552. two, I'm at cmeinel@techbroker.com. Please direct flames to
  553. dev/null@techbroker.com. Happy hacking!
  554. _______________________________________________________
  555. Copyright 1996 Carolyn P. Meinel. You may forward the GUIDE TO (mostly)
  556. HARMLESS HACKING as long as you leave this notice at the end. To subscribe,
  557. email cmeinel@techbroker.com with message "subscribe hacker
  558. <joe.blow@boring.ISP.net>" substituting your real email address for Joe Blow's. 
  559. ___________________________________________________________________
  560.