السلام عليكم ورحمة الله وبركاته
حبيت بهذا الموضوع أضع تجربه مريت فيها خلال الأيام اللي فاتت بعد كتابة موضوع تلغيم الإستايلات حتى يعلم أغلبكم إلى أي حد وصل تفكير الأطفال.
أتتني رساله على بريدي لأول مره أرى إسم المرسل فيها
وكان الإسم الظاهر في إسم المرسل هو ( ريم )
وكان عنوان الإيميل : reem@arabhost.com
وعنوان الرساله: عندل
وكان النص المكتوب بالرساله يقول:
-----------------------------------------------------------------------
السلام عليكم
والله صارت لي مصيبة وانا اخوك كل فترة وفتره يخترق منتداي وكل مارجعته اخترق تعبت وكرهت النت ياليت توقف معاي وتساعدني لان فيه ناس دلوني عليك وانت فيك الخير والبركة
************************** ( تم مسح الرابط )
-----------------------------------------------------------------------
الحقيقه إستغربت من الرساله ومن كلامه لما قال ( وانا اخوك ) !!!!
قمت بعرض مصدر الرساله فوراً حتى أرى من أي مكان أتت الرساله وكان المصدر كالتالي:
في أول سطر من المصدر مكتوبكود:Return-path: <nobody@server1.alarbia.com>
Envelope-to: al3ndaleeb@uk2.net
Received: from [204.13.153.98] (helo=server1.alarbia.com)
by smtp1.uk2.net with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.60)
(envelope-from <nobody@server1.alarbia.com>)
id 1H9Pjz-0006MV-CL
for al3ndaleeb@uk2.net; Tue, 23 Jan 2007 17:47:27 +0000
Received: from nobody by server1.alarbia.com with local (Exim 4.63)
(envelope-from <nobody@server1.alarbia.com>)
id 1H9Pk5-0001n7-JN
for al3ndaleeb@uk2.net; Tue, 23 Jan 2007 20:47:33 +0300
To: al3ndaleeb@uk2.net
Subject: عندل
From: ريم <reem@arabhost.com>
Message-Id: <E1H9Pk5-0001n7-JN@server1.alarbia.com>
Date: Tue, 23 Jan 2007 20:47:33 +0300
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server1.alarbia.com
X-AntiAbuse: Original Domain - uk2.net
X-AntiAbuse: Originator/Caller UID/GID - [99 32002] / [47 12]
X-AntiAbuse: Sender Address Domain - server1.alarbia.com
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -DSSL
X-Source-Dir: ksa00.com:/public_html/Email-M
Return-path: nobody@server1.alarbia.com
وهذا يعني أن الرساله مصدرها من سكربت من داخل سرفر عنوانه server1.alarbia.com باليوزر nobody والذي يستخدم في أغلب الأحيان لعمليات التصفح وصلاحيات الزوار.
دققت جيداً في مصدر الرساله وعرفت أن السرفر يستخدم برنامج تتبع يسمى AntiAbuse والذي بواسطته يتم تحديد السكربت الذي قام بإرسال الرساله وماهو عنوانه وإسم اليوزر المربوط بهذا العنوان فكانت البيانات كالتالي:
فكان عنوان السكربت على الرابط التالي و هو:كود:X-AntiAbuse: Originator/Caller UID/GID - [99 32002] / [47 12]
X-AntiAbuse: Sender Address Domain - server1.alarbia.com
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -DSSL
X-Source-Dir: ksa00.com:/public_html/Email-M
http://ksa00.com/Email-M/ ( لا تدخل الرابط )
وعند دخولي على السكربت عرفت أنه أحد السكربتات التي يستخدمها الأطفال في إرسال الرسائل ذات العنوان الوهمي.
قمت بعرض بيانات الموقع ksa00.com من أغلب مواقع الـ Whois وأشهرها فوجدت أن الموقع على إستضافه مشتركه لإستضافه تسمى ( العربيه ) وكانت بيانات العميل تقول:
دققت في البريد عرفت بأنه بريد لأحد الأشخاص الموجودين معي بالماسنجر سابقاً وهذا ما أكد لي إستخدامه لفظ ( عندل ) في عنوان الرساله.كود:adnan saleh
ADNAN
jeddah
20021
322
SA
Phone: +1.0096654589958
Fax: +.0009665241552
Email Address: alwnnah@hotmail.com
قمت بعرض بيانات موقع الاستضافه alarbia.com وكانت كالتالي:
قارنت الجوالاات وجدت أنها متشابهه على موقع الإستضافه وعلى موقع العميلكود:Domain name: alarbia.com
Registrant Contact:
Global Web Site
Adnan S ()
+966.504589958
Fax: +966.504589958
alarbia
AL Baha, 31981
SA
وقمت بالسؤال عن رقم الجوال لدى أحد الأصدقاء وأجابني بأن الجوال بإسم إمرأه!!
أخر إسمين من إسمها هو (.. صالح الزهراني ) وصاحب الموقع إسمه ( عدنان صالح ..... )
حينها عرفت بأن صاحب الموقع والإستضافه أحد أطفال النت واستخدم اخته لاستخراج جوال ( الظاهر إنها هدية النجاح ) :D
والله مشكله إذا كانت إستضافه ويديرها طفل.
على كل حال نكمل تحقيقنا في العناوين
دققت في العنوان الموجود في الرساله والمكتوب reem@arabhost.com وقمت بالتحقق من وجوده أو من عدمه بأدوات خاصه وتأكدت بأنه موجود فعلاً ويستقبل الرسائل.
بعدها قمت بعرض بيانات موقع arabhost.com حتى أعرف بيانات المالك وكانت لشخص لبناني على ما أعتقد :
كان يستخدم خاصيه لحماية بيانات الـ Whois ولكن يكفيني من هذه البيانات الإيميل المسجل وهو hotmaster@arabhost.com حينها قمت بالدخول على الموقع الموجود بعنوان الإيميل ووجدت بأنه مستضيف اخر ويعرض خدمات إستضافه للناس وسوالف سوفت تحمل مواضيع كثيره ضد هذا المستضيف والمستضيف السابق فالحمدلله أن طاحت أفعاله عندي وسيرى شر ماعمل.كود:Administrative Contact:
A, Host Admin hostmaster@arabhost.com
Main Strt
Beirut, Barbeer 0000
Lebanon
6600000
نأتي للأهم في محور هذا الحديث والتحقيق المطول
كان هؤلاء المستضيفين يستخدمون موقع ضحيه تم تلغيمه في أحد الإستايلات على ما أعتقد ولست متحقق حتى هذه اللحظه هل هذا الموقع ضحيه أم طفل اخر تم اشراكه في العمليات التي يقومون بها وهي:
سرقة الكوكيز الخاصه ببريد الhotmail أو الـ msn
والحمدلله أنني لا أحمل أي إيميل على هذه المواقع ولكني كنت أستخدم ماسنجر الهوتميل على بريدي الموجود في توقيعي وقد قمت بحجب أي رابط فرعي يتعلق بالـ msn.com وارتحت من إزعاجهم على بريدي نهائياً.
لذلك وللتنبيه:
فإن موقع msn.com يحمل ثغرات كثيره أغلبها من نوع xss فقد رأيت أن البعض يقوم بحجب الروابط كامله حتى يتصدى لهذه الثغرات وهذا خطأ والصحيح أن يتم حجب أي رابط فرعي يأتي في إسم msn.com .
قمت اليوم بالذهاب للجهات القانونيه ومعي أوراق كثيره جداً وتفاصيل أكثر لم أذكرها في هذا الموضوع فيها كل مايدين هذه العينه من الحيوانات وليست البشر وبإذنه تعالى لن أترك الموضوع يمر بسهوله وسيندموا أشد الندم على هذه الأفعال والأساليب.
ننتظر تعليقكم وعذراًَ على وضع الموضوع هنا ولكن حتى يتعض من يسرق عنوان بريده ويعرف كيف سرق :)
بالتوفيق