「仙蒂」一案有突破性的發現...



贊助商連結


joe.oo
2001-03-13, 08:07 PM
前一陣子,很多人都收到「仙蒂」的 email ,
從信件的內容看來,好像是寄錯了.
有人還亂傳可能是有病毒或是駭客,其實不然.
這些信都是 Html 的格式,我打開原始檔一看,赫然發現一行如:
body background='http://203.69.200.163/cgi-bin/perl/image.cgi?no=219-198-205-(中間省略)-220-982648422'
這一行是很普通的 Html 語法,意思是:
你這封 Html 格式的 email 的背景圖是自動鏈結到 http://203.69.200.163 ,由 image.cgi 這支程式產生圖檔之後
送回你的電腦,你才能看到背景圖.( 而 /cgi-bin/perl/ 是 image.cgi 的路徑 )
「no」 是參數名稱,
「= 」之後的字串就是要傳入的「值」了,
相信懂得 PHP , cgi , perl , asp .... 的人都知道這些吧 !

問題來了,為什麼如此單純的 email 其用到的背景圖要如此大費周章,用 cgi 去產生,而且還要傳入不一樣的「值」 ??
顯然是在搞什麼鬼.
但是,這一大串的數字,三位數一組,以 「-」 相隔,最後又是九位數字,代表什麼意思呢 ??

研究之後發現:
前面 ( 三位數一組,以「-」相隔 ) 是一個 email address ,但是有經過加密.
後面 ( 九位數字 ) 是一個日期,會寫 php 的人應該有印象吧,就是 Unix Epoch ( January 1 1970 GMT )起算的秒數.

下列是我寫的 javaScript 碼,可以幫大家解開這個謎底.
如果你懂得怎麼用 javaScript ,你可以利用下面的程式,幫你解密.
只有把 「***」換成你信中的那個字串(例如 : 201-202-203-232-220-205-219-220-134-203-199-197-134-210-223-982247774)
然後用 ie 開啟就會出現了.

當你看到解密之後的 email address,是不是覺得很眼熟,應該就是你自己收到「仙蒂」的 mail Box 對吧 ??
如果是,那麼很明顯地,這是某個不消人士收集有效 email address 的手法,
因為,你一打開 email,並且是在上網的同時,那這封 email 就偷偷地用讓人就沒有防範的 http 協定,
自動連結回他們的主機 http://203.69.200.163 ,回報說你的 email address 是有效的.


// copy there start
var code = "***"; // 把 *** 換成 no= 之後的字串例如 : 201-202-203-232-220-205-219-220-134-203-199-197-134-210-223-982247774
myarry = code.split("-");
str = "";
for( count = 0 ; count < myarry.length-1 ; count++ ){
if ( myarry[count] == 134 ){
str += ".";
} else if ( myarry[count] == 232 ){
str += "@";
} else if ( ( myarry[count] >= 192 && myarry[count] <= 199 ) || ( myarry[count] >= 209 && myarry[count] <= 210 ) ){
str += String.fromCharCode(myarry[count]-88);
} else if ( ( myarry[count] >= 201 && myarry[count] <= 207 ) || ( myarry[count] >= 216 && myarry[count] <= 224 ) ){
str += String.fromCharCode(myarry[count]-104);
} else if ( myarry[count] >= 144 && myarry[count] <= 145 ){
str += String.fromCharCode(myarry[count]-88);
} else {
str += String.fromCharCode(myarry[count]-104);
}
}
Millisecond = myarry[myarry.length-1];
myDate = new Date();
myDate.setTime(parseInt(myarry[myarry.length-1])*1000);
document.write( "<p>原始字串 : " + code + "<br>  email : " + str + "<br>  日期 : " + myDate.toGMTString() + "</p>" );
// end

贊助商連結


winson
2001-03-14, 04:18 AM
ㄟ~~厲害喔~~我以前只有發現那串數字~~因為不知所以然~~所以沒去追查~~...
恩~~我最近的信箱多了一堆以前沒出現過的廣告信~~都是奇怪的~~

恩~~針對OUTLOOK~~你們要小心Microsoft公司曾經發佈一個修正程式可以用來修復Outlook, Outlook Express VCard(名片)的安全性漏洞.此漏洞允許送件著傳送附有惡意程式的VCard的郵件在收件者機器上執行任意指令
http://www.microsoft.com/windows/ie/download/critical/q283908
http://www.microsoft.com/technet/security/bulletin/MS01-012.asp
http://www.securiteam.com/windowsntfocus/Outlook_and_Outlook_Express_VCard_Handler_Buffer_Overflow_Vulnerability.html
...
恩~~...另外想想~~防阻的目的是什麼~~我大概只是為了不甘願吧~~
否則我的電腦自己也有備份~~被幹掉了~~就重新安裝就好了~~
目前所知道的電腦系統本身的漏洞已經太多了∼多到覺得有點煩∼
唉~~大家小心吧

路恨天
2001-03-14, 04:40 PM
那這修正程式都是支援英文版的吧 ?
中文版的出來了嗎 ?
要去哪下載,修正呢 ?
謝謝 ~ ^_^

joe.oo
2001-03-14, 05:17 PM
補充:

剛才看了一下我寫的 javaScript 程式,
其中有些字串被這個留言版誤以為是vB Codes, 而key 掉了,沒辦法正常顯示, 導至程式錯誤,
現在已經修正好了.

mingsheu
2001-03-15, 09:14 AM
像這種情況.....
能不能通知電信警察呢???
最近收到的廣告信真x的是一大票,就連我那
少用的SeedNet竟然也收了一大票.......

只恨自己功力不足....不然.......

joe.oo
2001-03-15, 04:18 PM
原始作者是 : mingsheu
像這種情況.....
能不能通知電信警察呢???
最近收到的廣告信真x的是一大票,就連我那
少用的SeedNet竟然也收了一大票.......

只恨自己功力不足....不然.......

你可以選擇默默地承受,
一直到每次打開信箱,廣告信就有如泉水般湧出.
或者,採取反擊的動作.
想搞他們,不須什麼功力 !
這個網站有教人"廣告信處理(檢舉)方法"
http://www.netvigator.com.tw/~ya5411/
其中有個"假資料,真訂購"的方法,一定叫對方恨到吐血...

反對廣告信的鬥士們,加油!!!!

voluspa
2001-03-17, 12:48 AM
No.6, Lane 382, Hu Lien Rd.,Yung Ching Shiang, Changhua

inetnum: 203.69.200.160 - 203.69.200.167
netname: LW-NET
descr: Lady Wu
descr: No.6, Lane 382, Hu Lien Rd.,Yung Ching Shiang, Changhua
descr: Changhua Taiwan
country: TW
--------------------------------------------------------
以上是203.69.200.163申請者的data
有興趣的人就去查一查吧

arthurh
2001-03-17, 03:21 PM
原始作者是 : voluspa
No.6, Lane 382, Hu Lien Rd.,Yung Ching Shiang, Changhua

inetnum: 203.69.200.160 - 203.69.200.167
netname: LW-NET
descr: Lady Wu
descr: No.6, Lane 382, Hu Lien Rd.,Yung Ching Shiang, Changhua
descr: Changhua Taiwan
country: TW
--------------------------------------------------------
以上是203.69.200.163申請者的data
有興趣的人就去查一查吧




http://www.net520.net
http://www.jcboy.com.tw
這兩個網址都指向 203.69.200.163
你們有收過 jcboy@jcboy.com.tw 寄來的廣告信嗎?
沒錯,他就是在網路上引起熱烈討論的仙蒂,也是小燕子

彰化縣永靖鄉瑚璉路382巷6號
駿豐資訊
應該是仙蒂的發源地

joe.oo
2001-03-20, 04:35 AM
沒收到過 jcboy@jcboy.com.tw 寄來的信,

"綠界科技"寄的匿名廣告信倒是一堆,
這種下三濫的公司,
不旦開發寄廣告信的軟體,又自己濫寄廣告信,
廣告信還用匿名的,不敢承認是它們寄的.
最下流的是,在信頭中用了下面這一行:
Return-Path: <abuse@kimo.com.tw>

詛咒它早早倒店!!