Gli spammer affinano le tecniche per nascondere i loro siti web

Caso pratico num. 6: URL cammuffate e siti click-through



E allora? Tanto noi li troviamo lo stesso. Vediamo come.


Trucchetti con cui vengono cammuffate le url

Nella pagina in cui si discutono gli indirizzi IP, si è detto come un indirizzo possa essere espresso mediante un numero intero anziché in notazione dotted quad. Quindi una url come http://3154189391/ è del tutto funzionante e corrisponde a http://188.1.28.79/. Sia i browser che i normali comandi come ping o traceroute accettano senza problemi gli indirizzi in quella forma e gli spammer, alla ricerca di espedienti con cui ridurre la probabilità di perdere i loro siti web, iniziarono a esprimere le url in questo modo, confidando nel fatto che l'utente medio non li sappia risolvere e non riesca quindi a trovare il vero indirizzo del sito.

Ci sono anche altri trucchetti che non si sono molto diffusi. Per esempio, una url espressa come http://188.1.28.79.com/ può lasciare perplessi ma, in fondo, non è altro che un subdomain del dominio 79.com (ovvio, del resto). Oppure, una url come questa: http://0274.01.034.0117/ è di nuovo l'indirizzo 188.1.28.79, stavolta espresso in forma ottale (dato che i numeri iniziano per 0).

Questi trucchi divennero inefficaci assai presto, così gli spammer, tanto per intorbidare maggiormente le acque, iniziarono a dare url di questo tipo:

http://356276@202818865/abcd/def.htm

La parte prima della chiocciola (il 356276) è l'informazione di autenticazione (normalmente non usata e ininfluente), mentre l'host viene indicato dalla parte che segue la chiocciola (il 202818865, che corrisponde a 12.22.197.49). Se poi vi trovate di fronte ad una URL fatta così:

http://209.21.162.23@23.178.75.110@216.35.27.167/eccetera...

il vero indirizzo che lo spammer intende nascondere è quello più a destra (il 216.35.27.167).

Un ulteriore trucco sempre più spesso usato dagli spammer per confondere le idee è di inserire, in queste url, anche degli encoding. Per esempio, la url appena vista:

http://356276@202818865/abcd/def.htm

si potrebbe trovare indicata anche con questa notazione del tutto equivalente:

http://3%3562%376@20%3281%3886%35/%61%62c%64/def.htm

In pratica ogni carattere % va considerato unitamente ai due numeri seguenti, assieme ai quali si risolve nel carattere con il corrispondente codice ascii espresso in esadecimale (es. %35 è il carattere '5', %40 è la chiocciola ecc..).

Risolvere queste url non è quindi difficile, però procedere a decodificarle manualmente può essere una operazione lunga, noiosa e a rischio di commettere piccoli errori che portino in una direzione completamente sbagliata. Quindi consiglierei di usare gli appositi decodificatori che si possono trovare online. Un esempio assai popolare nella comunità antispam è messo a disposizione dal sito SamSpade.org.

Esempio di url cammuffata

Ecco una parte del testo di un messaggio di spam da me ricevuto:

=-=-=-=-=-=-=-=-=-=-=-=-=-REMOVE INSTRUCTIONS-=-=-=-=-=-=-=-=-=-=-=
While the Internet is public domain and not private, we respect your choice
to not receive email from our EZine subscriber list.

To be removed from our list server database, please enter your email at the
the address below.  We honor ALL remove requests.

http://fupwes.gruskoze.uk%668key=965895210index=a21r7p6qw%403633646981/cgi-bin/remove.cgi?21268:delete

If this link does not load for your browser, you may leave your email address on
our flat-rate toll-free voicemail server by calling 1-888-.....

La frase iniziale merita un commento: dove si siano sognati che la rete sia pubblica e non privata resterà sempre un mistero. Fintantoché le risorse di ogni rete sono pagate dai rispettivi proprietari e utenti, Internet sarà un insieme di reti private interconnesse, checché ne dica il nostro spammer. E non dobbiamo certo affidarci al suo conclamato rispetto per la nostra scelta di non ricevere le sue email: un falso rispetto, propalato con il tono indisponente di chi fa notare che, per essere gentile nei nostri confronti, starebbe rinunciando ad un proprio diritto. Ricordate che la regola numero 1 è: "Gli spammer mentono".

Ora veniamo alla url indicata per il remove: pare di vedere che si tratti di un host inglese (per via del .uk). Invece no: la url non finisce con il .uk, e procedendo a decodificarla si ottiene:

 http://fupwes.gruskoze.ukf8key=965895210index=a21r7p6qw@3633646981/cgi-bin/remove.cgi?21268:delete

ossia, scartando tutte le inutili cianfrusaglie prima della '@' e risolvendo l'indirizzo numerico:

 http://216.149.13.133/cgi-bin/remove.cgi?21268:delete

Andando a vedere qual è il reverse DNS per l'indirizzo ip 216.149.13.133 si trovava (a quel tempo, ora non più) un beffardo "servetheworld-suspend.com", visibilmente bogus e che ovviamente non si verificava al DNS diretto. Facendo uno scan del reverse DNS per la classe C dell'indirizzo in questione (un tool per questa operazione esiste sul già citato sito Samspade.org) si vedevano un mucchio di nomi altrettanto di fantasia. Mettere le definizioni DNS in questo modo è una pratica rara e, come ci si può immaginare, niente affatto apprezzata in rete. Comunque l'indirizzo apparteneva a 9NETAVE, cui è stato diretto il reclamo e che ha risposto che avrebbe investigato sul proprio cliente prendendo, se il caso, gli opportuni provvedimenti.

Altro esempio di cammuffamento

Una celebre spamhaus americana è nota per inviare spam in html al cui interno si trovano dei link di questo genere:

<A HREF="http://www.jan1502.wr.co.fr&#20;&#2;&#20;&#5;&#20;|https.opt-out.example.com/...eccetera...

Una url scritta in quel modo può funzionare solo all'interno di un link in una pagina html. Se si prova a copiarla ed incollarla sulla riga di indirizzo del browser, non funziona. Se poi si prova a copiare il nome host e a inserirlo in un qualsiasi programma in grado di determinare l'indirizzo ip a partire dal nome, è assai probabile che il risultato sia sbagliato, in quanto la presenza di certi caratteri (come il |) può far sì che una parte del nome venga trascurata. Quando invece si clicka su un link di quel tipo, il browser risolve quelle sequenze &#nn;, sostituendole con il carattare il cui codice ascii espresso in decimale sia nn. Risulteranno dei caratteri non stampabili, ma il dns competente per il dominio usato dalla spamhaus è in grado di risolvere ugualmente i nomi host di quel tipo. Si può dire che, in fin dei conti, la url non è neppure cammuffata: semplicemente contiene caratteri speciali, che sono espressi con normali escape html.

Ovviamente, in caso di uno spam di questo genere bisogna reclamare innanzitutto a chi ospita i dns per il dominio in questione, tuttavia per completare l'indagine occorre anche vedere a quale indirizzo si trova il sito raggiungibile tramite quella url e, quindi, risolvere quel nome dns. Una soluzione può essere di far girare (anche sul proprio computer) uno script Perl (o altro programma utile allo scopo) in grado di risolvere le sequenze &#nn; esattamente come farebbe il browser, e di passare il risultato al normale programma di lookup sul dns. Ad esempio, si potrebbe codificare uno script come segue:

$url = 'www.jan1502.wr.co.fr&#20;&#2;&#20;&#5;&#20;|https.opt-out.example.com';
$url =~ s/\&\#([0-9]{1,3})\;/chr($1)/ge;
open(CMD,"nslookup \"$url\" |");
while () {
    chop $_;
    print "$_\n";
}
close (CMD);

(l'esecuzione di un tale script presuppone, ovviamente, di avere il Perl installato sul proprio computer).

Cosa sono i siti click-through

Non sempre, quando si vede uno spam che pubblicizza una url, è sufficiente limitarsi a far chiudere il relativo sito. Spesso infatti la url inclusa nello spam punta semplicemente ad un piccolo sito, generalmente residente su qualcuno dei tanti servizi di free hosting, in cui non c'è nulla di realmente importante, né è quella la vera sede in cui gira il business dello spammer. Si tratta di siti che, qualora venissero chiusi, lo spammer non avrebbe grossi problemi a riaprire velocemente, magari usando un differente servizio di hosting. Comunque, il piccolo sito referenziato negli spam deve per forza contenere, nelle sue pagine, il link per giungere al vero sito ove l'organizzazione responsabile per quello spam conduce i suoi affari. Per questo il primo sito, quello a cui si giunge direttamente dalla url contenuta nello spam, viene detto click-through: si tratta infatti, nella maggioranza dei casi, di siti che servono solo per clickarci sopra e giungere quindi nel sito che conta.

Il sito che conta viene raggiunto o direttamente dal click-through o seguendo i link di varie pagine in sequenza (magari anche più di un sito click-through può essere frapposto ed è da attraversare). Quando, alla fine, si arriva al sito che conta, lo si riesce di solito a riconoscere facilmente: è dove sta il grosso del materiale ed i riferimenti per mettersi in contatto con l'organizzazione (non sfuggano frasi come "click here to join" o form html da compilare). È molto probabile che il sito principale dello spammer sia su servizi di hosting già di discreta qualità e, magari, non gratuiti (dotati di servizi quali CGI, e-commerce eccetera). Perdere questo sito risulta, per lo spammer, una eventualità assai più fastidiosa e costosa, che può costringerlo a perdere diversi giorni per poter essere di nuovo on-line.

A questo punto, passiamo a vedere un caso pratico in cui è stata necessaria una caccia più approfondita per riuscire ad arrivare fino in fondo.

Caso pratico num. 6: url cammuffata e sito click-through

From: cybermarket@gnwmail.com
Received: from jade. ([164.124.96.60])
          by bftoemail6.bigfoot.com (Bigfoot Toe Mail v1.0
          with message handle 990917_120552_4_bftoemail6_smtp;
          Fri, 17 Sep 1999 12:05:52 -0500
          for mio-indirizzo@bigfoot.com
Received: from computer by jade. (SMI-8.6/SMI-SVR4)
    id BAA00883; Sat, 18 Sep 1999 01:03:12 +0900
Message-Id: <199909171603.BAA00883@jade.>
Subject: Lowest home loan rates in years!
Date: Fri, 17 Sep 1999 02:07:29 -0700
X-Priority: 3
X-MSMail-Priority: Normal
Reply-To: dplewis@gnwmail.com
X-UIDL: fb8361d381ce40db03bd177e7332807a
Status: U

Home loans are available for EVERY credit and equity situation!
Whether your credit rating is A+ or you are "credit challenged"
[.....]

Tagliamo un pezzo per arrivare alla url:


http://3%36%32%36%30%34%36%34%36%38%2f%62%69%7a%34%2f%62%69%7a%34%33%33%33/start.html

Click on the link above for your FREE Mortgage Evaluation.
If the link is dead please reply with "more info" in
the subject.


-------------------------------------------------
This email complies with ALL Federal and State laws.

To be removed from the mailing list send
mailto:dplewis@gnwmail.com?subject=remove_ddc9

L'analisi non è difficile: lo spammer ha trovato un relay anonimo che usa un sendmail 8.6; si nota anche una dropbox su GNWMail ed è indicata una url pasticciata che si risolve come segue:

      http://216.33.20.4/biz4/biz4333/start.html

L'indirizzo è di Angelfire, celebre servizio di free hosting che gli spammer spesso scelgono per mettervi dei siti click-through, nonostante in genere Angelfire li chiuda velocemente. Occorre quindi andare a vedere che c'è sulla pagina indicata, e a questo scopo lo strumento più utile può essere o il proprio browser (andando poi a vedere il sorgente html della pagina) o, meglio ancora, il safe browser disponibile online, alla già citata url di Samspade.org. Si tratta di una funzionalità che mostra non solo il sorgente della pagina richiesta, ma anche gli header inviati dal relativo web server. In pratica, il safe browser mostra, in formato testuale, l'output completo esattamente come viene fornito dal web sever in risposta al comando http GET. L'output che si ottiene dal safe browser è ottimo per copiarlo poi nel proprio abuse report.

Uno strumento come il safe browser consente anche di vedere molto facilmente la vera ubicazione dei siti che credono di potersi nascondere dietro i servizi di ridirezione (quali i vari come.to, jump.to, try.at eccetera): in questi casi si nota un tag tipo: <frame src="http://vera-url...". Un altro vantaggio del safe browser è che, per suo tramite, si può arrivare sui poco amichevoli siti degli spammer senza far vedere la propria provenienza e senza accettare cookie.

Andando a vedere cosa c'era alla url indicata nello spam, si è ottenuto il seguente output:

GET /biz4/biz4333/start.html HTTP/1.1
Host: 216.33.20.4
Connection: close

Read 7120 bytes from host 216.33.20.4, path /biz4/biz4333/start.html

HTTP/1.1 200 OK
Date: Fri, 17 Sep 1999 18:54:29 GMT
Server: Apache/1.3.4 (Unix)
Last-Modified: Fri, 17 Sep 1999 08:29:24 GMT
ETag: "5809cb-1ad7-37e1fbe4"
Accept-Ranges: bytes
Content-Length: 6871
Connection: close
Content-Type: text/html

<html>

<head>
<meta http-equiv="Content-Type"
content="text/html; charset=iso-8859-1">
<meta name="description"
content="The Home Loan Source makes it easy to get a mortgage quote anywhere in the United States.  Fill in our short form and you will be contacted by a mortgage professional the specializes in the type of loan that you need.">
<meta name="keywords"
content="mortgage, home loan, refinance, borrow, second trust deed, purchase money, home improvement loans, equity line of credit, consumer finance, debt consolidation, Fixed Rate Loans, Adjustable Rate Mortgage, ARM, Buydown,Conforming,Jumbo, Non-Conforming Loans, FHA, VA,Non-Owner Occupied,Cash-Out Refinances ">
<meta name="GENERATOR" content="Microsoft FrontPage Express 2.0">
<title>The Home Loan Source</title>
</head>

<body background="images/homebg.jpg" bgcolor="#FFFFFF" text="#008080" topmargin="20" leftmargin="20" marginheight="0" marginwidth="0">

<p align="center"><font size="5">  </font><font size="5"
face="Arial"><strong>Apply For A Home Loan In Just A Few Minutes!</strong></font><font size="5"> </font></p> <div align="center"><center>
[....]

Tagliamo un pezzo per giungere alla parte interessante:


        </font><a href="quickpre3.html"><font size="2"
        face="System"><strong>Click Here To Continue to the quick
        pre-qualification form</strong></font></a><font

Tronchiamo qui, il seguito non contiene altro di utile.

Non sfugga l'HREF=
abbiamo un link che punta ad un'altra pagina (del medesimo sito), quella "quickpre3.html" che viene presentata come "pre-qualification form": proprio quel che bisogna andare a vedere. Andiamo dunque col safe browser alla pagina in questione e otteniamo questo output:

GET /biz4/biz4333/quickpre3.html HTTP/1.1
Host: 216.33.20.4
Connection: close

Read 8192 bytes from host 216.33.20.4, path /biz4/biz4333/quickpre3.html

HTTP/1.1 200 OK
Date: Fri, 17 Sep 1999 18:56:06 GMT
Server: Apache/1.3.4 (Unix)
Last-Modified: Fri, 17 Sep 1999 08:28:35 GMT
ETag: "5809ca-21a8-37e1fbb3"
Accept-Ranges: bytes
Content-Length: 8616
Connection: close
Content-Type: text/html

<HTML>
<HEAD>
  <META http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
  <META name="GENERATOR" content="Microsoft FrontPage Express 2.0">
  <TITLE>Quick Pre-application Form</TITLE>
</HEAD>
[....]

Saltiamo un po' di righe anche qui e arriviamo a:


      <TR>
        <TD width="548"><FORM action="http://206.253.222.112/loanform/cgi-bin/file.cgi"
          method="POST">
        <FONT color="#008080" size="4" face="Arial">Fill out this short form to receive
        your free loan quote.<EM><STRONG> </STRONG></EM></FONT>
        <P>

Tronchiamo qui.

Ci siamo: invitano a fornire i dati in un form html, al fine di ricevere un qualche riscontro da loro. Il form quindi risiede ancora sul sito click-through, tuttavia occorre fare attenzione all'attributo ACTION del tag FORM. L'attributo ACTION indica a quale programma CGI il browser dell'utente deve inviare i dati da elaborare. È quello il programma che lavora per far arrivare allo spammer i contatti commerciali, quindi è quello che va colpito. Qui il form lancia il programma file.cgi che sta nella classica directory cgi-bin di un sito sull'host 206.253.222.112 il quale, come si può subito constatare, appartiene a hypermart.net (un servizio di hosting assai famoso e riservato all'utenza commerciale).

E così, per gestire adeguatamente questo caso, ho mandato (a parte il relay e la dropbox) un unico abuse report agli indirizzi abuse sia di angelfire.com che di hypermart.net:

abuse@angelfire.com
please deal with the unsolicited commercial email enclosed here, at
the bottom of this message, where the following page is advertised:

 http://216.33.20.4/biz4/biz4333/start.html

(the url within the message body is obfuscated but it can be
decoded to http://3626046468/biz4/biz4333/start.html ).
216.33.20.4 is bigip.angelfire.com

abuse@hypermart.net
the spamadvertised page here reported to Angelfire is a click-through
which leads to a form with the following action:

 <FORM action="http://206.253.222.112/loanform/cgi-bin/file.cgi" method="POST">

206.253.222.112 is server21.hypermart.net, so please delete the site of these
spammers before they can take profit from this spam run.

Thank you all
[firma]

Oltre che il messaggio di spam, allegavo gli opportuni output del safe browser.

Giusto per verificare se il sito su hypermart non fosse per caso già stato chiuso, ho pure provato ad usare il safe browser sulla url cgi indicata nell'ACTION del form. Il programma CGI dello spammer ha risposto dicendo che i dati erano stati inviati con successo e che mi avrebbero contattato entro 2 giorni lavorativi. In realtà, essendo stata effettuata una semplice GET (e senza alcuna query string), non era stato inviato proprio nessun dato: evidentemente il programma, scritto coi piedi, non effettuava neppure il controllo dei dati prima di rispondere (cosa che qualsiasi programma CGI che si rispetti dovrebbe fare con particolare attenzione).

Come è andata a finire? Il giorno dopo ho constatato che Angelfire aveva già chiuso il click-through. Il programma CGI, invece, continuava a funzionare. Allora, tre giorni dopo, ho inviato un sollecito (già, a volte va fatto pure questo). A titolo di esempio di cosa si può dire in un sollecito, riporto il testo:

Subject: Spamadvertised site on Hypermart (http://206.253.222.112/loanform/cgi-bin/file.cgi

Dear Hypermart,
I see that the web site in the subject, advertised by means of
a click-through on Angelfire, is still alive, while the click-through
has been closed by Angelfire.

The fact that the real site, hosted by you, has not been taken
down, enables the spammer to open another click-through and
to spam again. So please take action as soon as possible.
Thank you
[firma]

--- Abuse report sent to you on Sep-17:
[qui era allegato l'intero abuse report precedentemente spedito]

Dopo qualche altro giorno, è finalmente giunta una risposta:

Hello There,

Thank you for this information. We appreciate that you took the time to alert us of this violation.
As a result, the account has been removed from our system and the user's IP and email address has
been banned from our network. Again, Thank you. Your actions has improved the quality of our service
and enhanced HyperMart's community.

La cosa importante è che, a questo punto, una nuova prova con il safe browser sulla url del programma CGI riportava finalmente un errore "403 Forbidden". È vero che, di solito, ci si aspetta un "404 Not Found", tuttavia qualsiasi codice di errore ci va bene, purché il sito non ci sia più.

Altri particolari che non devono sfuggire

Il caso appena esaminato vedeva, sul sito click-through, un form ove il programma CGI poteva anche essere, a tutti gli effetti, un vero e proprio programma gestionale che trattasse direttamente i dati immessi. Nella maggioranza dei casi, comunque, gli spammer adottano soluzioni più semplici da costruire, in cui il form serve semplicemente per assemblare e spedire una normale email ad una ben precisa mailbox, da cui lo spammer scarica periodicamente i messaggi per poi gestirli manualmente. In questi casi il programma CGI sarà semplicemente uno dei tanti di form-mailing, e l'host su cui gira può essere associato al sito dello spammer o, in qualche caso, può essere un vero e proprio servizio di form-mailing legittimo. Questi casi comunque hanno di solito una cosa in comune: l'indirizzo di email a cui vengono spediti i dati raccolti per mezzo del form deve essere tra i dati in input del programma CGI. Ne consegue che di solito, guardando il sorgente html del form, si nota un campo hidden (ossia non visualizzato dal browser) valorizzato con un indirizzo di email. Nessuno si sorprenderà che il provider di questo indirizzo di email debba essere informato dell'uso che di tale mailbox viene fatto. Altrettanto dicasi per gli eventuali servizi di form-mailing. Bloccare al più presto la possibilità per lo spammer di ricevere risposte è importantissimo. Per questo raccomanderei di non trascurare mai le mailbox di ogni genere associate allo spam.

Vediamo un esempio di situazione quale quella appena descritta:

<form action="http://3507429089/cgi-bin/ukmailer.cgi" method=POST>
<INPUT TYPE="HIDDEN" NAME="recipient" VALUE="mailbox_dello_spammer@excite.com">
<INPUT TYPE="HIDDEN" NAME="formmailerid" VALUE="Account-id_dello_spammer">
<input type=hidden name="subject" value="Order Feedback">
<input type=hidden name="redirect" value="http://www.geocities.com/...omissis.../thankyou.html">
[....]

Qui è evidente che lo spammer ha preso una mailbox gratuita fornita da Excite (al cui indirizzo abusi è stata subito mandata una segnalazione). Quanto all'indirizzo numerico indicato nella url di cui alla ACTION del form, porta a formmailer.net, un servizio che fornisce elaborazione di form di email per usi legittimi. Visitando il sito di formmailer.net si notava con piacere, in bella evidenza, un link alla Abuse.net, e tale link non era lì per caso: infatti molto rapidamente il responsabile di Formmailer confermò che l'account in questione era stato chiuso.

Caspita, ma allora sono parecchie le segnalazioni da spedire per ogni spam!

Effettivamente sì, cominciano ad essere parecchie. In casi estremi per un unico spam potrebbero essere da avvertire diversi soggetti:

  1. la rete da cui lo spam è stato originato;
  2. la rete cui appartiene il relay o proxy aperto da cui lo spam è transitato;
  3. il servizio di hosting per il sito click-through indicato nello spam;
  4. il servizio di hosting per il sito vero e proprio raggiunto tramite il click-through, se c'è;
  5. il servizio di dns per il sito vero e proprio, se diverso dal provider di hosting;
  6. il gestore dei form di mailing trovati sul click-through o su altri siti;
  7. il provider delle mailbox trovate nei form di mailing o come contatti sulle pagine del click-through;
  8. il provider delle eventuali mailbox indicate nello spam (es. per raccogliere i remove).
  9. i fornitori di eventuali servizi di altro genere (es. i servizi per addebito su carte di credito che risultano usati dai siti pubblicizzati nello spam).

Mediamente il numero di reclami da spedire è certamente molto più basso, tuttavia possono effettivamente capitare dei casi in cui il lavoro da fare comincia a richiedere un po' di tempo. Già abbiamo accennato al fatto che non convenga dedicare del tempo per segnalare un relay o proxy aperto, ragion per cui il relativo punto può essere saltato, tuttavia non è detto che si abbia sempre il tempo per redigere tutti i rimanenti abuse report. È giusto sapere che tutti i punti di quella lista sono punti in cui lo spammer è vulnerabile, e che colpirlo su tutti avrebbe l'efficacia massima. Quindi tutti quei punti vanno considerati delle opportunità. Quanto al tempo necessario, direi che avere qualche template pronto, sfruttare tutti gli strumenti a disposizione ed avere fatto pratica su qualche caso consente di diventare discretamente veloci. Nei casi, purtroppo sempre più numerosi al crescere del volume di spam in circolazione, in cui il tempo disponibile impone di operare delle scelte, concentratevi preferibilmente sul sito vero e proprio e sui server DNS, che sono per lo spammer le risorse più difficili e costose da rimpiazzare. Tra l'altro, gli spammer più grossi e più sicuri della complicità del proprio provider sovente spammano direttamente dalla stessa rete su cui hanno le altre loro principali risorse. Per valorizzare al massimo le vostre segnalazioni di spam internazionale, raccomanderei anche di postarne una copia sull'apposito newsgroup news.admin.net-abuse.sightings. Se infatti in molti casi appare chiaro che la segnalazione di un utente non può realisticamente portare alla disconnessione di un grosso spammer, è comunque vero che può costituire utilissima evidenza a supporto del lavoro di chi gestisce liste di blocco (sia del newsgroup news.admini.net-abuse.sightings che delle liste di blocco si parlerà nelle prossime pagine).


Indice    << Precedente    Successiva >>

Ultimo aggiornamento: 28 luglio 2003

Leonardo Collinelli

e-mail