Discussione:
Scansione della rete a caccia del virus Worm.Sober.U
(troppo vecchio per rispondere)
Lord Fenner
2005-12-03 14:55:14 UTC
Permalink
Saluti a tutti.
Ho un problema con il virus in oggetto, il mio server di posta indica
che viene intercettato questo virus ma dai log non riesco a capire chi
possa
essere chi propaga il virus.
Vorrei un consiglio su come operare al meglio per debellare il "verme".
Mi piacerebbe utilizzare linux , sul server ho installato clamav ma so
che ci sono distribuzioni
tipo auditor o slax che hanno dei tool per la scansione della rete che
vanno a caccia di virus o bug.
Ho provato slax ma non so se puo' essere la soluzione giusta.
Non so se Nessus ha qualche plug-in che faccia al caso mio , comunque
sia
non vorrei mettere in prova un server che faccia questo tipo di lavoro
senza un minimo di confronto con qualcuno che ha affrontato il problema
prima e meglio di me.
Cosa posso fare per riuscire a trovare il virus nella mia rete?
Vi ringrazio e mi scuso se questo puo' essere un tema gia' discusso e
ridiscusso
ma era proprio per avere un confronto.
Grazie Max
roberto
2005-12-03 17:54:15 UTC
Permalink
Post by Lord Fenner
Saluti a tutti.
Ho un problema con il virus in oggetto, il mio server di posta indica
che viene intercettato questo virus ma dai log non riesco a capire chi
Che razza di server di posta hai che non ti fornisce l'IP di provenienza
delle mail in transito rifiutate dall'antivirus?
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
Lord Fenner
2005-12-03 18:17:16 UTC
Permalink
il server di posta e' un server di razza! non e' qui il problema
perche' se io ho un portatile e il server mi autentica l'utente e mi
collego dal "mondo" l'ip lo riesco a loggare ma non ci faccio niente.
Il mio scopo e' quello di individuare la macchina.
Ho chiesto un suggerimento, ciao ;-)
roberto
2005-12-03 18:39:47 UTC
Permalink
Post by Lord Fenner
il server di posta e' un server di razza! non e' qui il problema
E' li', il problema.
Se devi fare una scansione della rete. troveresti l'IP da cui partono
le mail.
Ed e' una cosa che il tuo server di razza puo' fornirti *aggratisse*.
Post by Lord Fenner
perche' se io ho un portatile e il server mi autentica l'utente e mi
collego dal "mondo" l'ip lo riesco a loggare ma non ci faccio niente.
Se ti autentica lìutente, sai perfettamente chi e' collegato, e se si
collega dal mondo, non puoi pensare di fare una scansione della rete
intesa come da 0.0.0.0 a 255.255.255.255.
Post by Lord Fenner
Il mio scopo e' quello di individuare la macchina.
Come ti ho detto io, la individui.
Post by Lord Fenner
Ho chiesto un suggerimento, ciao ;-)
E io te l'ho dato, ma cominci a far oscillare paurosamente il
trollometro.
Se poi vuoi invece consigli su sniffer e altre amenita' simili,
hai sbagliato gruppo.
Ma non c'e' miglior sniffer del server di posta, in questo caso.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
Lord Fenner
2005-12-03 18:45:53 UTC
Permalink
Allora l'ip lo conosco! ma e' un ip nattato.. nel senso che proviene da
una sottorete in nat che contiene almeno 200 pc.
ora lasciando stare il server di posta elettronica, quale strumento e'
piu' opportuno per fare la scansione dei virus in una sottorete nota?
La domanda e' precisa.
Nessun troll. ;-)
Max
OneNET Trieste
2005-12-03 19:00:16 UTC
Permalink
Post by Lord Fenner
Allora l'ip lo conosco! ma e' un ip nattato.. nel senso che proviene da
una sottorete in nat che contiene almeno 200 pc.
[snip]

E sto NAT chi lo gestisce? ci sarà pur da qualche parte una tabella che
ti dice le macchine collegate che IP hanno.

Gabriele

ps: forse è meglio se chiedi su it.comp.reti.*
OneNET Trieste
2005-12-03 18:50:17 UTC
Permalink
Post by Lord Fenner
il server di posta e' un server di razza! non e' qui il problema
perche' se io ho un portatile e il server mi autentica l'utente e mi
collego dal "mondo" l'ip lo riesco a loggare ma non ci faccio niente.
Il mio scopo e' quello di individuare la macchina.
Ho chiesto un suggerimento, ciao ;-)
Scusa, che vuol dire "mi collego dal mondo" ? Il tuo server di posta se,
come dici tu, "autentica" l'utente ti dirà sia nome che IP, che vuoi di
più ?

Facciamo così: scrivi un estratto del log di questo tuo server "di
razza", così forse si capisce meglio dove sta il presunto problema.

Gabriele
Lord Fenner
2005-12-03 19:04:29 UTC
Permalink
Il server e' qmail con modulo di autenticazione, pero' effettivamente
non mi logga il nome di chi e' nella sottorete nattata perche' tcp.smtp
lascia "passare" i messaggi che provengono da li.
Cmq forse ho postato male la domanda, ma il mio scopo non era quello di
mettere in evidenza il fatto che esista o meno un server di posta ma di
avere uno strumento per individiuare un virus all'interno di una
sottorete.
Vi ringrazio cmq per l'interessamento e credo sia l'indicazione giusta
quella di leggere i log del server di posta al fine poi di poter
eseguire un'azione mirata sulla macchina che contiene il virus.
Io vorrei pero' poter fare la scansione della rete. Grazie.
roberto
2005-12-04 21:51:12 UTC
Permalink
Post by Lord Fenner
Il server e' qmail con modulo di autenticazione, pero' effettivamente
non mi logga il nome di chi e' nella sottorete nattata perche' tcp.smtp
lascia "passare" i messaggi che provengono da li.
Beh, allora te le cerchi, le rogne.

Togliere le eccezioni all'autenticazione del server sarebbe la cosa
giusta da fare.
Post by Lord Fenner
Cmq forse ho postato male la domanda, ma il mio scopo non era quello di
mettere in evidenza il fatto che esista o meno un server di posta ma di
avere uno strumento per individiuare un virus all'interno di una
sottorete.
Oh, adesso ha quasi un senso.
Il firewall/gateway/proxy puo' loggarti le richieste *strane*.
Un IDS (snort e simili) puo' essere di molto aiuto.
Post by Lord Fenner
Vi ringrazio cmq per l'interessamento e credo sia l'indicazione giusta
quella di leggere i log del server di posta al fine poi di poter
eseguire un'azione mirata sulla macchina che contiene il virus.
Io vorrei pero' poter fare la scansione della rete. Grazie.
Definisci "scansione della rete"
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
Lord Fenner
2005-12-05 14:38:59 UTC
Permalink
Post by roberto
Beh, allora te le cerchi, le rogne.
No.
Il virus non transita dal server di posta.
Post by roberto
Un IDS (snort e simili) puo' essere di molto aiuto.
Si, potrebbe essere una soluzione mettere una sonda pero'
quali regole dovrei scegliere per scovare sober?
Post by roberto
Definisci "scansione della rete"
Probabilmente non mi sto spiegando bene vediamo con un esempio se riesco ad
essere piu' chiaro.
Se io dovessi interpellarti personalmente ti chiederei. "Quale strumento
utilizzeresti nel caso in cui ti trovi di fronte ad un cliente che ha la
rete infetta dal virus worm.sober.u ?
Che tipo di sistema metti in piedi? ids, antivirus certalizzato tipo
corporate , nessus".
Per rispondere precisamente visto che io potrei interpretare il termine
scansione della rete diversamente da te, per scansione della rete definisco
un sistema analogo a nessus che posto all'interno della tua LAN si
preoccupa di analizzare ogni singola macchina alla scoperta di
vulnerabilita'.
Ma potrebbe essere la tecnica non corretta.
Grazie!
--
Togli MAPSON per rispondere
OneNET Trieste
2005-12-05 15:49:14 UTC
Permalink
Lord Fenner wrote:
[snip]
Post by Lord Fenner
Probabilmente non mi sto spiegando bene vediamo con un esempio se riesco ad
essere piu' chiaro.
Se io dovessi interpellarti personalmente ti chiederei. "Quale strumento
utilizzeresti nel caso in cui ti trovi di fronte ad un cliente che ha la
rete infetta dal virus worm.sober.u ?
Che tipo di sistema metti in piedi? ids, antivirus certalizzato tipo
corporate , nessus".
Per rispondere precisamente visto che io potrei interpretare il termine
scansione della rete diversamente da te, per scansione della rete definisco
un sistema analogo a nessus che posto all'interno della tua LAN si
preoccupa di analizzare ogni singola macchina alla scoperta di
vulnerabilita'.
Ma potrebbe essere la tecnica non corretta.
Grazie!
Ma perché la fai così difficile ? Intanto non è *la rete* ad essere
infetta, ma uno o più pc windows. Quindi devi solo sapere l'IP della
macchina che spedisce sti virus.
Possibile che non vi sia un log che lo fa ? Ma sta rete non ha un
antivirus centralizzato ?

In un precedente messaggio hai scritto che ci sono 200 pc dietro NAT.
Bene, sta NAT da che apparato è gestita, un router, un firewall, un
cinese che pedala?

Comunque una cosa puoi fare per arginare il problema da subito: spostare
dalla porta 25 alla 587 l'invio della posta nei client installati e
chiudere la 25 in uscita sul firewall (o altro apparato che hai di
fronte a sta rete). Poi controlli chi insiste nell'usare la 25 e lo
seghi! E questo lo dico memore di una discussione di questi giorni su
it.news.net-abuse :)

Gabriele
Lord Fenner
2005-12-05 21:31:20 UTC
Permalink
Post by OneNET Trieste
In un precedente messaggio hai scritto che ci sono 200 pc dietro NAT.
Bene, sta NAT da che apparato è gestita, un router, un firewall, un
cinese che pedala?
un pc con iptables in SNAT divide un segmento di rete dall'altro.
La mia rete e' monitorata e pulita l'altra non so.
Gli utenti si autenticano al server di posta sul quale gira un qmail
con onboard spamassassin clamav e degli script home made che
processano (mettono in blacklist gli indirizzi che non mi piacciono) i
messaggi prima di darli in pasto agli antivirus.
L'antivirus agisce in entrambe le direzioni anzi anche nel qmail-inject.
La rete al di la' del firewall che mi protegge probabilmente ha dei pc
infetti con rubrica che contiene molti dei "miei" indirizzi di posta.
Post by OneNET Trieste
Comunque una cosa puoi fare per arginare il problema da subito: spostare
dalla porta 25 alla 587 l'invio della posta nei client installati e
chiudere la 25 in uscita sul firewall (o altro apparato che hai di
fronte a sta rete). Poi controlli chi insiste nell'usare la 25 e lo
seghi! E questo lo dico memore di una discussione di questi giorni su
it.news.net-abuse :)
cmq il problema non e' cosi' grave e non mi "tocca" direttamente
unica noia che avevo un sacco di messaggi dall'antivirus del server
e mi sono incuriosito.
Post by OneNET Trieste
Gabriele
Grazie anche a te per l'interessamento Max
--
Togli MAPSON per rispondere
roberto
2005-12-05 19:50:59 UTC
Permalink
Post by Lord Fenner
Post by roberto
Beh, allora te le cerchi, le rogne.
No.
Il virus non transita dal server di posta.
Allora, devi deciderti.
Post by Lord Fenner
Ho un problema con il virus in oggetto, il mio server di posta indica
che viene intercettato questo virus ma dai log non riesco a capire chi
E io ti ho detto che il log del server mail dovrebbe essere sufficiente.

Se non transita dal server di posta, per cosa transita?
Post by Lord Fenner
Post by roberto
Un IDS (snort e simili) puo' essere di molto aiuto.
Si, potrebbe essere una soluzione mettere una sonda pero'
quali regole dovrei scegliere per scovare sober?
CHIUDI LA 25 in uscita, e lo trovi al volo. Sober viaggia in mail.
Se proprio vuoi usare un IDS, studiati le caratteristiche di sober
e trova le particolarita' dei suoi pacchetti dati.
MA molto probabilmente, trovi le firme gia' pronte in giro.
Esempio trovato in due secondi di google:
http://www.snort.org/archive-3-517.html
Post by Lord Fenner
Post by roberto
Definisci "scansione della rete"
Probabilmente non mi sto spiegando bene vediamo con un esempio se riesco ad
essere piu' chiaro.
Se io dovessi interpellarti personalmente ti chiederei. "Quale strumento
utilizzeresti nel caso in cui ti trovi di fronte ad un cliente che ha la
rete infetta dal virus worm.sober.u ?
Chiudo la 25 in uscita, salvo l'accesso al server ufficiale, e si vede
subito chi tenta l'uscita.
Se mi parli di sober.u.
Se mi parli di worm tipo sasser, mi metto in acolto sul firewall.
E in ogni caso, verifico su macchine a campione lo stato dell'antivirus.
Post by Lord Fenner
Che tipo di sistema metti in piedi? ids, antivirus certalizzato tipo
corporate , nessus".
Se e' un cliente, vuol dire che sei tu che devi dargli i
suggerimenti, lui paga te, non me.:-)

Un suggerimento sull'antivirus, pero', daglielo, e tieni presente
questo:

L'utente NON deve poter disattivare o modificare le impostazioni
dell'antivirus.
L'antivirus deve aggiornarsi da solo.
Se possibile, l'antivirus deve avere un punto di raccolta degli
aggiornamenti all'interno della rete, cui tutti i client si
abbeverano.
Eventualmente, una amministrazione remota dei client, la possibilita'
di preparare le configurazioni in modo centralizzato e poi passarle
a tutti i client.
IL server di posta deve essere protetto da antivirus in entrata e in
uscita, magari piu' di uno (qui il server di posta ha due antivirus in
cascata, e in piu' TUTTI i client hanno antivirus locale)

Io non so come e' la sua rete, e che accordi ci sono per l'assistenza.
C'e' un firewall?
C'e' un proxy?
Di che tipo?
Che log hai a disposizione?
Ci sono accessi all'esterno possibili? (modem, wireless, etc)
C'e' un server mail interno?
C'e' un sysadmin anche fatto in casa?
...

Visto che si tratta di sober, passo da lui, e gli disinfetto le macchine
una ad una, a qualche centinaia di euro al giorno.
E poi gli vendo un antivirus di MIA fiducia, con installazione NON
modificabile e non disattivabile dall'utente, protetta da password.
Se non accetta, e vuole autonomia, i prossimi interventi di pulizia
della rete sono a 100 euro all'ora, oppure mi tolgo l'impiccio di un
cliente fornitore di rogne.
Post by Lord Fenner
Per rispondere precisamente visto che io potrei interpretare il termine
scansione della rete diversamente da te, per scansione della rete definisco
un sistema analogo a nessus che posto all'interno della tua LAN si
preoccupa di analizzare ogni singola macchina alla scoperta di
vulnerabilita'.
Sbagliato l'approccio.

Oppure fatti pagare molto caro, ma quando sai come si usa un sistema di
analisi delle vulnerabilita'.
E dalle domande che fai, scusa, ma non sei in grado.:-)

Limitati a studiare, per il momento, un IDS, e vedrai che gia' col solo
intervento investigativo hai parecchi elementi per la soluzione di tanti
problemi di virus/worm.

Ma ricorda, come dicevo prima, la prima cosa e' guardare i log e se puoi
togliere ogni accesso garibaldino come le white list di cui si parlava
che saltano i log e l'autenticazione del server mail.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
Lord Fenner
2005-12-05 21:01:09 UTC
Permalink
[cut]
Post by roberto
Ma ricorda, come dicevo prima, la prima cosa e' guardare i log e se puoi
togliere ogni accesso garibaldino come le white list di cui si parlava
che saltano i log e l'autenticazione del server mail.
Ho fatto l'esempio del cliente per farti capire la domanda.
grazie per la risposta intelligente ed esaustiva!
Max
--
Togli MAPSON per rispondere
Lord Fenner
2005-12-05 21:18:00 UTC
Permalink
Post by roberto
E dalle domande che fai, scusa, ma non sei in grado.:-)
Scusa ma qui ti sbagli, non confondermi proprio con un newbie ;-)
Le domande non sono proprio cosi' da sprovveduto!
Il fatto e' che non posso mettere nessus o snort in casa d'altri ma qui non
mi dilungo perche' dovrei spiegare com'e' composta la rete ecc ecc.
Cmq grazie per la disponibilita' ciao
--
Togli MAPSON per rispondere
roberto
2005-12-05 21:49:14 UTC
Permalink
Post by Lord Fenner
Post by roberto
E dalle domande che fai, scusa, ma non sei in grado.:-)
Scusa ma qui ti sbagli, non confondermi proprio con un newbie ;-)
Le domande non sono proprio cosi' da sprovveduto!
Forse non sei uno sprovveduto, ma le domande lo erano. ;-)
Post by Lord Fenner
Il fatto e' che non posso mettere nessus o snort in casa d'altri ma qui non
mi dilungo perche' dovrei spiegare com'e' composta la rete ecc ecc.
Ma perche' vi dovete sempre inventare situazioni che somigliano alla
realta', ma non lo sono?
Tu vai dal dottore e gli fai indovinare che malanni hai spiegandogli
ogni sintomo spostato di quattro cm a sinistra?

Bah.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
Lord Fenner
2005-12-05 22:32:38 UTC
Permalink
On Mon, 05 Dec 2005 22:49:14 +0100, roberto
Post by roberto
Post by Lord Fenner
Post by roberto
E dalle domande che fai, scusa, ma non sei in grado.:-)
Scusa ma qui ti sbagli, non confondermi proprio con un newbie ;-)
Le domande non sono proprio cosi' da sprovveduto!
Forse non sei uno sprovveduto, ma le domande lo erano. ;-)
Oh ma insisti? ;-)
Ma secondo te uno che si chiama lord fenner sara' mica nato ieri
no?....ehheeh
Post by roberto
Ma perche' vi dovete sempre inventare situazioni che somigliano alla
realta', ma non lo sono?
No beh il subject e' chiaro, io non volevo trovare la soluzione ad un
mio problema ma capire l'approccio piu' idoneo , se c'e'
Cmq dipende anche qui dalla dimensione del problema , se avessi avuto
3 pc avrei girato ad installare antivirus, avendone 200 ... e' dura

ciao
roberto
2005-12-06 17:07:08 UTC
Permalink
Lord Fenner wrote:
-cut-
Post by Lord Fenner
Post by roberto
Forse non sei uno sprovveduto, ma le domande lo erano. ;-)
Oh ma insisti? ;-)
Certo.
Post by Lord Fenner
Ma secondo te uno che si chiama lord fenner sara' mica nato ieri
no?....ehheeh
Beh, sai, dicono che lord lo si sia per nascita, potresti essere nato
ieri, ed essere lord.

E secondo te, uno che si *chiama* roberto poggi?
E' nato prima o dopo uno che si *firma* lord fenner? ;-P
Puoi firmarti anche bill gates, o linus thorvalds (li abbiamo visti,
post con questi nick) ma chi sei tu, io non lo so, vedo solo cio' che
scrivi in *quel* post, e mi regolo su *quel* post.
Post by Lord Fenner
Post by roberto
Ma perche' vi dovete sempre inventare situazioni che somigliano alla
realta', ma non lo sono?
No beh il subject e' chiaro, io non volevo trovare la soluzione ad un
Il subject e' chiaro, ma la prosecuzione del thread l'hai pasticciata.
E anche il subject pecca di "nato ieri", il sober e' virus mail, e non
c'e' bisogno di scandire nessuna rete, basta mettersi al confine e
sniffare un po' la 25 in uscita.
Per tutto il resto, ci sono gli IDS, che dici si conoscere.

Poi, prima te lo dice il server mail, poi no, poi e' un cliente, poi
e' una subnet tua ma di altro dipartimento, poi le cavallette, poi ...

Sii chiaro da subito, che altrimenti ci si incarta, e viene la voglia
di desintonizzare il cervello sul thread, ignorandolo completamente.

E se volevi che il subject fosse veramente chiaro, potevi chiedere se
consideravamo (chi siamo, poi, noi?) fattibile una analisi della rete
alla ricerca delle vulnerabilita' dei vari client da remoto.
Beh, per me, no, per tante ragioni, ma comunque vedi sotto.
Post by Lord Fenner
mio problema ma capire l'approccio piu' idoneo , se c'e'
Cmq dipende anche qui dalla dimensione del problema , se avessi avuto
Bravo.
Vedi che ci sei arrivato?
Avrei dovuto dirti: "dipende".
Ma se rispondi *dipende* su un news group di solito ti picchiano.;-)

La rete e' *tua*?
Le macchine le hai installate tu?
Le macchine sono sempre accese? (verifichi, tutto ok, 5 minuti dopo
che hai finito e detto OK al cliente ti accendono il pc impestato, e
tu ci fai la classica figuraccia)
Gli utenti hanno diritti di amministrazione delle proprie macchine?
La rete e' remota?
La rete e' di un cliente?
La rete ha altri punti di uscita? (modem)
La rete e' di due. dieci, centomila ws?
E' switchata?
E' sezionata da ripetitori in fibra?
Ha switch con management e possibilita' di monitor delle porte?
Ha ...
Post by Lord Fenner
3 pc avrei girato ad installare antivirus, avendone 200 ... e' dura
Dura? Beh, dipende. :-P
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
Lord Fenner
2005-12-06 20:30:30 UTC
Permalink
[cut]
Post by roberto
Post by Lord Fenner
Oh ma insisti? ;-)
Certo.
Non insistere, non siamo tutti guru di settore ma il nostro mestiere lo
facciamo con serieta' e molta professionalita'.
Non vorrai adesso chiedermi di applicare il teorema di Rice, o che ti
dimostri Cook, Dijkstra, Fulkerson prima di postare un messaggio sul ng
non sono mica un commesso viaggiatore, sono un semplice informatico.
Post by roberto
Beh, sai, dicono che lord lo si sia per nascita, potresti essere nato
ieri, ed essere lord.
E secondo te, uno che si *chiama* roberto poggi?
Sarai quello del "trapano" ?
Post by roberto
Il subject e' chiaro, ma la prosecuzione del thread l'hai pasticciata.
Qui hai ragione, ero un po' rilassato ma spesso nei ng le domande sono le
solite ecc ecc...
Post by roberto
Poi, prima te lo dice il server mail, poi no, poi e' un cliente, poi
e' una subnet tua ma di altro dipartimento, poi le cavallette, poi ...
Io sono stato rispettoso, non ne facciamo una questione personale
peraltro apparte la battuta delle cavallette sei anche simpatico.
Post by roberto
Sii chiaro da subito, che altrimenti ci si incarta, e viene la voglia
di desintonizzare il cervello sul thread, ignorandolo completamente.
Ho postato qui il quesito non sapendo ci fosse
gente del tuo calibro.
Spero non me ne farai una colpa se ho postato il tread

Comunque la discussione almeno e' stata costruttiva non solo per me.
Saluti
--
Togli MAPSON per rispondere
roberto
2005-12-06 21:38:33 UTC
Permalink
Post by Lord Fenner
[cut]
Post by roberto
Post by Lord Fenner
Oh ma insisti? ;-)
Certo.
Non insistere, non siamo tutti guru di settore ma il nostro mestiere lo
Ehi, frena.

C'erano varie faccine implicite.
Speravo non ci fosse bisogno di metterle, dopo il tuo
Post by Lord Fenner
Post by roberto
Post by Lord Fenner
Oh ma insisti? ;-)
Che portava verso un tono piu' leggero e scherzoso.


PS: Il mio calibro? Come sai che sono leggermente sovrappeso?
mi hai hackerato lo specchio?
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
Lord Fenner
2005-12-07 06:48:19 UTC
Permalink
[cut]
Post by roberto
PS: Il mio calibro? Come sai che sono leggermente sovrappeso?
mi hai hackerato lo specchio?
hehehe siamo in 2 ad essere sovrappeso ;-)
Buona Giornata,Max

Continua a leggere su narkive:
Loading...