The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Как посылают спам через FormMail"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Как посылают спам через FormMail"
Сообщение от opennews on 10-Июн-03, 15:50 
Как известно, рассылке спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки. Причем последний пункт практически сводится к одной программе (часто сам метод рассылки спама называется ее именем) - FormMail (автор Matt Wright, который, несмотря на огромный опыт, так и не научился писать качественный код). В статье наглядно описана технология атаки через FormMail, показано как определить, что через ваш хост рассылают спам и что сделать для исправления ситуации.

URL: http://www.net-security.org/article.php?id=503
Новость: https://www.opennet.ru/opennews/art.shtml?num=2552

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Размышления о спаме."
Сообщение от Maxim Chirkov email on 10-Июн-03, 15:50 
Вчера писал, что распространению спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки (formmail). Сегодня провел небольшой эксперимент и убедился, что сегодня эти факторы - капля в море. Подавляющее большинство спама идет через зараженных троянскими программами пользователей. Так что рассылка через открытые релеи и открытые прокси, уже прошлый день.

Статистически, путем использовния nmap, выяснил, что большинство хостов, через которые рассылается спам имеют открытые порты 2001 (Der Spaeher 3; TransScout; Trojan Cow), 5000 (Bubbel; Back Door Setup), 1025 (NetSpy).

Список портов используемых троянскими программами:
http://www.security-gui.de/portlist.php

Cообщить модератору | Наверх | ^

6. "Размышления о спаме."
Сообщение от Nickolay on 11-Июн-03, 12:15 
не согласен, что CGI-скрипты - капля в море.
через нас спамили дня два-три именно через formmail.
закрыл как только пришла жалоба от спамкопа :-(
нашел как спамят - закрыл дыру. прошло немного времени они нашли еще одну дырку в этом скрипте. убрал его нафиг. поставил аналогичный, но вроде как более грамотный скрипт...
Cообщить модератору | Наверх | ^

7. "Размышления о спаме."
Сообщение от Maxim Chirkov email on 11-Июн-03, 13:11 
>не согласен, что CGI-скрипты - капля в море.

С CGI, открытыми релеями проксями уже есть достаточное эффективные методы борьбы.

Ко мне в ящик, ежедневно, при повальном присутсвии email'а в сети приходит через фильтры всего несколько англоязычных спам-писем. Проблема возникла с русским спамом, поняв, что новые лазейки в cgi, открытые релеи и прокси появляются не так часто и блокируются слишком быстро, они перешли на рассылку троянов пользователям и посылают спам через них.

Проблема расслыки через троянских программ в том, что пропадает смысл блокировки в DNSBL системах (сейчас помещаю туда целые DSL сетки, это не так эффективно и слишком жестоко), на момент когда IP рассылающего попадает в список блокировки, троян уже либо блокируют администраторы, либо спамер просто забывает про него. Определять и блокировать такие рассылки нужно в горячую, в момент первой волны, так как второй волны уже не будет, она будет через другой компьютер.

Сейчас как раз пишу такую систему, она достаточно жестко блокирует подозрительный хост, в течении первых 5 минут, после прихода спам письма.
Потестирую на серии бесплатных web-mail систем, потом попробую в продакшин.

Cообщить модератору | Наверх | ^

8. "Размышления о спаме."
Сообщение от Nickolay on 11-Июн-03, 13:28 
согласен и одобрям :-)
скажите пожалуйста, на каких бесплатных webmail'ах тестирование будет производиться? (imp???)
Cообщить модератору | Наверх | ^

2. "Другой метод"
Сообщение от Maxim Chirkov email on 10-Июн-03, 16:36 
Все эксперменты начались с идеи блокирования спам хостов на основании анализа "первой волны" спама.
Имея 9000 активных пользователей, из которых, предположим, 300 есть в списке рассылки текущего спамера, можно, теоретически, пропустив и проанализировав 10-50 сообщений текущей рассылки спама, заблокировать источник, защитив остальные 250. Написл тест для обратной проверки на открытые релеи и прокси, за пол часа - поймал два открытый прокси и без того имевшиеся в DSBL. Буду экспериментировать с проверкой на порты используемые троянскими программами.

Провалившись с идеей обратной проверки на открытые прокси и релеи по IP, хотел использовать метод обратной проверки реальности пользователя, т.е.:
- Cмотрим какой адрес передают в "MAIL FROM:";
- Вычисляем по "host -t mx" MX обслуживающий домен адресата;
- Делаем запрос к низшему MX, проверяем примет ли сервер почту для "RCPT TO:" проверяемый_емайл"
- Если сервер вернул ошибку - помещаем в списки блокировки IP отправителя и проверяемый емайл.

При ближайшей проверке выяснил, что большинство серверов на этапе "RCPT TO:" не проверяют наличия пользователя, а генерируют письмо с ошибкой позже :-( Т.е. метод тоже нежизнеспособен.

Метод блокирования при отсутствии открытого 25 порта для IP отправителя, нежизнеспособен, так как в сети множество хостов отправляющих валидные сообщений, но не принимающих соединений из вне.

Остается класическая блокировка по DNSBL спискам с его ~ 30% КПД :-(


Cообщить модератору | Наверх | ^

3. "еще замечание"
Сообщение от Maxim Chirkov email on 10-Июн-03, 16:59 
Кстати, нижесприведенная проверка, дает замечательные результаты.

check_spamer.sh:
#!/bin/sh
IP=$1
TEST="`nmap -P0 -p 1025,5000,2001 $IP|grep open`"
if [ "$TEST" = "" ]; then
  echo Ok.
else
  echo Spamer.
fi

Cообщить модератору | Наверх | ^

4. "Как посылают спам через FormMail + размышления о спаме"
Сообщение от dawnshade email on 10-Июн-03, 17:17 
Кстати, tcp 1025 вполне нормальный порт, открываемый 2к и ХП - процесс svchost.exe
Cообщить модератору | Наверх | ^

5. "Как посылают спам через FormMail + размышления о спаме"
Сообщение от Maxim Bunin email on 10-Июн-03, 17:28 
Я сделал так, что formmail не принимает список адресов из формы, а считывает его из файла, созданного ползователем (вне DocumentRoot, public_html)
Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру