lunes, 10 de enero de 2005

Spambot actuando desde la RAE?

Siguiendo un link de etanisla, llego al blog de Ann Elisabeth y leo el artículo
Some insights into spambot behavior, donde se habla de 3 direcciones IP vinculadas al envío de Spam. Una de ellas es indonesia, otra de Nueva York. La tercera es española, así que decido investigar.
Según Ann Elisabeth, una técnica para detectar master-spambots es buscar un servidor web, ya que los ordenadores domésticos normales no tienen servidores web. Así que escribo:
http://213.172.36.62
y me encuentro (antes incluso de que cargue la página) con que se está cargando algo dentro de la RAE (Real Academia Española). Wow! Han llegado tan lejos los Spambots? Porque, que yo sepa, la página de la RAE la administra la mismísima IBM.

He dejado un comentario y he mandado un mensajito al administrador de la academia. Seguiremos informando.

4 comentarios:

DrQbikus dijo...

Según veo, tienen dos direcciones:

www.rae.es CNAME webrae.rae.es
webrae.rae.es A 193.145.222.100
webrae.rae.es A 213.172.36.62

La primera se encamina directamente hacia RedIris, mientras que la segunda pasa por un nodo intermedio neo.es.

Además, mientras la primera corresponde unívocamente a la RAE, la segunda no tiene resolución inversa, así que no me extrañaría que simplemente fuera un IP dinámica de respaldo, que no haya correspondiendo siempre a la RAE, que sea un enrutador de NEO.es, o que esté compartida por mucha más gente.

josemoya dijo...

¡Vaya, veo que sabes usar el nslokup.exe mejor que yo! Lo que me pregunto es, ¿para qué podría querer la RAE una réplica en un servidor con DNS dinámico?

DrQbikus dijo...

¿Yo usando un *.EXE?! Dios me libre XD
Naaaa, utilicé un /usr/bin/host después de un buen apt-get ;)

Sobre por qué debe necesitar la RAE esa IP, pues no lo sé... habrá que preguntarles a ellos.

Aunque parece que CREA vaya a su bola, porque no utiliza a RedIris ni en los DNS, ni en las rutas.

Authority information:
rae.es 10 IN NS ns4.rae.es
rae.es 10 IN NS sun.rediris.es
rae.es 10 IN NS crea.rae.es
Additional information:
[...]
crea.rae.es 10 IN A 193.145.222.66

Si hasta tienen su propio servidor DNS en Neo.es.
Se habrán independizado de RedIris XDD

Anónimo dijo...

Ann Elisabeth here. I don't understand Spanish. Please keep me updated on what happens. I answered your post on my blog as well. Not sure you read it?

So far I've gotten zero responses to my e-mails to administrators and whoever I could find associated with the other webservers (or rather, most of them are probably unintended webservers. Machines where they haven't disabled the webserver, and haven't disabled the ability to use it as a proxy from outside).