The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Как посылают спам через FormMail + размышления о спаме

09.06.2003 18:44

Как известно, рассылке спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки. Причем последний пункт практически сводится к одной программе (часто сам метод рассылки спама называется ее именем) - FormMail (автор Matt Wright, который, несмотря на огромный опыт, так и не научился писать качественный код). В статье наглядно описана технология атаки через FormMail, показано как определить, что через ваш хост рассылают спам и что сделать для исправления ситуации.

  1. Главная ссылка к новости (http://www.net-security.org/ar...)
  2. Посмотреть на formmail
  3. Безопасные аналоги скриптов от Matt Wright
Лицензия: CC-BY
Источник: linuxsecurity.com
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/2552-proxy
Ключевые слова: proxy, mail, cgi, spam, maillist
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (8) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Maxim Chirkov (?), 15:50, 10/06/2003 [ответить]  
  • +/
    Вчера писал, что распространению спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки (formmail). Сегодня провел небольшой эксперимент и убедился, что сегодня эти факторы - капля в море. Подавляющее большинство спама идет через зараженных троянскими программами пользователей. Так что рассылка через открытые релеи и открытые прокси, уже прошлый день.

    Статистически, путем использовния nmap, выяснил, что большинство хостов, через которые рассылается спам имеют открытые порты 2001 (Der Spaeher 3; TransScout; Trojan Cow), 5000 (Bubbel; Back Door Setup), 1025 (NetSpy).

    Список портов используемых троянскими программами:
    http://www.security-gui.de/portlist.php

     
     
  • 2.6, Nickolay (?), 12:15, 11/06/2003 [^] [^^] [^^^] [ответить]  
  • +/
    не согласен, что CGI-скрипты - капля в море.
    через нас спамили дня два-три именно через formmail.
    закрыл как только пришла жалоба от спамкопа :-(
    нашел как спамят - закрыл дыру. прошло немного времени они нашли еще одну дырку в этом скрипте. убрал его нафиг. поставил аналогичный, но вроде как более грамотный скрипт...
     
     
  • 3.7, Maxim Chirkov (?), 13:11, 11/06/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >не согласен, что CGI-скрипты - капля в море.

    С CGI, открытыми релеями проксями уже есть достаточное эффективные методы борьбы.

    Ко мне в ящик, ежедневно, при повальном присутсвии email'а в сети приходит через фильтры всего несколько англоязычных спам-писем. Проблема возникла с русским спамом, поняв, что новые лазейки в cgi, открытые релеи и прокси появляются не так часто и блокируются слишком быстро, они перешли на рассылку троянов пользователям и посылают спам через них.

    Проблема расслыки через троянских программ в том, что пропадает смысл блокировки в DNSBL системах (сейчас помещаю туда целые DSL сетки, это не так эффективно и слишком жестоко), на момент когда IP рассылающего попадает в список блокировки, троян уже либо блокируют администраторы, либо спамер просто забывает про него. Определять и блокировать такие рассылки нужно в горячую, в момент первой волны, так как второй волны уже не будет, она будет через другой компьютер.

    Сейчас как раз пишу такую систему, она достаточно жестко блокирует подозрительный хост, в течении первых 5 минут, после прихода спам письма.
    Потестирую на серии бесплатных web-mail систем, потом попробую в продакшин.

     
     
  • 4.8, Nickolay (?), 13:28, 11/06/2003 [^] [^^] [^^^] [ответить]  
  • +/
    согласен и одобрям :-)
    скажите пожалуйста, на каких бесплатных webmail'ах тестирование будет производиться? (imp???)
     

  • 1.2, Maxim Chirkov (?), 16:36, 10/06/2003 [ответить]  
  • +/
    Все эксперменты начались с идеи блокирования спам хостов на основании анализа "первой волны" спама.
    Имея 9000 активных пользователей, из которых, предположим, 300 есть в списке рассылки текущего спамера, можно, теоретически, пропустив и проанализировав 10-50 сообщений текущей рассылки спама, заблокировать источник, защитив остальные 250. Написл тест для обратной проверки на открытые релеи и прокси, за пол часа - поймал два открытый прокси и без того имевшиеся в DSBL. Буду экспериментировать с проверкой на порты используемые троянскими программами.

    Провалившись с идеей обратной проверки на открытые прокси и релеи по IP, хотел использовать метод обратной проверки реальности пользователя, т.е.:
    - Cмотрим какой адрес передают в "MAIL FROM:";
    - Вычисляем по "host -t mx" MX обслуживающий домен адресата;
    - Делаем запрос к низшему MX, проверяем примет ли сервер почту для "RCPT TO:" проверяемый_емайл"
    - Если сервер вернул ошибку - помещаем в списки блокировки IP отправителя и проверяемый емайл.

    При ближайшей проверке выяснил, что большинство серверов на этапе "RCPT TO:" не проверяют наличия пользователя, а генерируют письмо с ошибкой позже :-( Т.е. метод тоже нежизнеспособен.

    Метод блокирования при отсутствии открытого 25 порта для IP отправителя, нежизнеспособен, так как в сети множество хостов отправляющих валидные сообщений, но не принимающих соединений из вне.

    Остается класическая блокировка по DNSBL спискам с его ~ 30ПД :-(


     
  • 1.3, Maxim Chirkov (?), 16:59, 10/06/2003 [ответить]  
  • +/
    Кстати, нижесприведенная проверка, дает замечательные результаты.

    check_spamer.sh:
    #!/bin/sh
    IP=$1
    TEST="'nmap -P0 -p 1025,5000,2001 $IP|grep open'"
    if [ "$TEST" = "" ]; then
      echo Ok.
    else
      echo Spamer.
    fi

     
  • 1.4, dawnshade (?), 17:17, 10/06/2003 [ответить]  
  • +/
    Кстати, tcp 1025 вполне нормальный порт, открываемый 2к и ХП - процесс svchost.exe
     
  • 1.5, Maxim Bunin (?), 17:28, 10/06/2003 [ответить]  
  • +/
    Я сделал так, что formmail не принимает список адресов из формы, а считывает его из файла, созданного ползователем (вне DocumentRoot, public_html)
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру