forum.opennet.ru - "OpenNews: Как посылают спам через FormMail" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Как посылают спам через FormMail"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Как посылают спам через FormMail"
Сообщение от opennews on 10-Июн-03, 15:50
Как известно, рассылке спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки. Причем последний пункт практически сводится к одной программе (часто сам метод рассылки спама называется ее именем) - FormMail (автор Matt Wright, который, несмотря на огромный опыт, так и не научился писать качественный код). В статье наглядно описана технология атаки через FormMail, показано как определить, что через ваш хост рассылают спам и что сделать для исправления ситуации. URL: http://www.net-security.org/article.php?id=503 Новость: http://www.opennet.me/opennews/art.shtml?num=2552
Cообщить модератору \| Наверх \| ^

Оглавление

Размышления о спаме., Maxim Chirkov, 15:50 , 10-Июн-03, (1)

Размышления о спаме., Nickolay, 12:15 , 11-Июн-03, (6)

Размышления о спаме., Maxim Chirkov, 13:11 , 11-Июн-03, (7)

Размышления о спаме., Nickolay, 13:28 , 11-Июн-03, (8)

Другой метод, Maxim Chirkov, 16:36 , 10-Июн-03, (2)
еще замечание, Maxim Chirkov, 16:59 , 10-Июн-03, (3)
Как посылают спам через FormMail + размышления о спаме, dawnshade, 17:17 , 10-Июн-03, (4)
Как посылают спам через FormMail + размышления о спаме, Maxim Bunin, 17:28 , 10-Июн-03, (5)

Сообщения по теме [Сортировка по времени, UBB]

1. "Размышления о спаме."

Сообщение от Maxim Chirkov on 10-Июн-03, 15:50

Вчера писал, что распространению спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки (formmail). Сегодня провел небольшой эксперимент и убедился, что сегодня эти факторы - капля в море. Подавляющее большинство спама идет через зараженных троянскими программами пользователей. Так что рассылка через открытые релеи и открытые прокси, уже прошлый день.
Статистически, путем использовния nmap, выяснил, что большинство хостов, через которые рассылается спам имеют открытые порты 2001 (Der Spaeher 3; TransScout; Trojan Cow), 5000 (Bubbel; Back Door Setup), 1025 (NetSpy).
Список портов используемых троянскими программами:
http://www.security-gui.de/portlist.php

Cообщить модератору | Наверх | ^

6. "Размышления о спаме."

Сообщение от Nickolay on 11-Июн-03, 12:15

не согласен, что CGI-скрипты - капля в море.
через нас спамили дня два-три именно через formmail.
закрыл как только пришла жалоба от спамкопа :-(
нашел как спамят - закрыл дыру. прошло немного времени они нашли еще одну дырку в этом скрипте. убрал его нафиг. поставил аналогичный, но вроде как более грамотный скрипт...

Cообщить модератору | Наверх | ^

7. "Размышления о спаме."

Сообщение от Maxim Chirkov on 11-Июн-03, 13:11

>не согласен, что CGI-скрипты - капля в море.

С CGI, открытыми релеями проксями уже есть достаточное эффективные методы борьбы.
Ко мне в ящик, ежедневно, при повальном присутсвии email'а в сети приходит через фильтры всего несколько англоязычных спам-писем. Проблема возникла с русским спамом, поняв, что новые лазейки в cgi, открытые релеи и прокси появляются не так часто и блокируются слишком быстро, они перешли на рассылку троянов пользователям и посылают спам через них.
Проблема расслыки через троянских программ в том, что пропадает смысл блокировки в DNSBL системах (сейчас помещаю туда целые DSL сетки, это не так эффективно и слишком жестоко), на момент когда IP рассылающего попадает в список блокировки, троян уже либо блокируют администраторы, либо спамер просто забывает про него. Определять и блокировать такие рассылки нужно в горячую, в момент первой волны, так как второй волны уже не будет, она будет через другой компьютер.
Сейчас как раз пишу такую систему, она достаточно жестко блокирует подозрительный хост, в течении первых 5 минут, после прихода спам письма.
Потестирую на серии бесплатных web-mail систем, потом попробую в продакшин.

Cообщить модератору | Наверх | ^

8. "Размышления о спаме."

Сообщение от Nickolay on 11-Июн-03, 13:28

согласен и одобрям :-)
скажите пожалуйста, на каких бесплатных webmail'ах тестирование будет производиться? (imp???)

Cообщить модератору | Наверх | ^

2. "Другой метод"

Сообщение от Maxim Chirkov on 10-Июн-03, 16:36

Все эксперменты начались с идеи блокирования спам хостов на основании анализа "первой волны" спама.
Имея 9000 активных пользователей, из которых, предположим, 300 есть в списке рассылки текущего спамера, можно, теоретически, пропустив и проанализировав 10-50 сообщений текущей рассылки спама, заблокировать источник, защитив остальные 250. Написл тест для обратной проверки на открытые релеи и прокси, за пол часа - поймал два открытый прокси и без того имевшиеся в DSBL. Буду экспериментировать с проверкой на порты используемые троянскими программами.
Провалившись с идеей обратной проверки на открытые прокси и релеи по IP, хотел использовать метод обратной проверки реальности пользователя, т.е.:
- Cмотрим какой адрес передают в "MAIL FROM:";
- Вычисляем по "host -t mx" MX обслуживающий домен адресата;
- Делаем запрос к низшему MX, проверяем примет ли сервер почту для "RCPT TO:" проверяемый_емайл"
- Если сервер вернул ошибку - помещаем в списки блокировки IP отправителя и проверяемый емайл.
При ближайшей проверке выяснил, что большинство серверов на этапе "RCPT TO:" не проверяют наличия пользователя, а генерируют письмо с ошибкой позже :-( Т.е. метод тоже нежизнеспособен.
Метод блокирования при отсутствии открытого 25 порта для IP отправителя, нежизнеспособен, так как в сети множество хостов отправляющих валидные сообщений, но не принимающих соединений из вне.
Остается класическая блокировка по DNSBL спискам с его ~ 30% КПД :-(

Cообщить модератору | Наверх | ^

3. "еще замечание"

Сообщение от Maxim Chirkov on 10-Июн-03, 16:59

Кстати, нижесприведенная проверка, дает замечательные результаты.
check_spamer.sh:
#!/bin/sh
IP=$1
TEST="`nmap -P0 -p 1025,5000,2001 $IP|grep open`"
if [ "$TEST" = "" ]; then
echo Ok.
else
echo Spamer.
fi

Cообщить модератору | Наверх | ^

4. "Как посылают спам через FormMail + размышления о спаме"

Сообщение от dawnshade on 10-Июн-03, 17:17

Кстати, tcp 1025 вполне нормальный порт, открываемый 2к и ХП - процесс svchost.exe

Cообщить модератору | Наверх | ^

5. "Как посылают спам через FormMail + размышления о спаме"

Сообщение от Maxim Bunin on 10-Июн-03, 17:28

Я сделал так, что formmail не принимает список адресов из формы, а считывает его из файла, созданного ползователем (вне DocumentRoot, public_html)

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Размышления о спаме."
Сообщение от Maxim Chirkov on 10-Июн-03, 15:50
Вчера писал, что распространению спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки (formmail). Сегодня провел небольшой эксперимент и убедился, что сегодня эти факторы - капля в море. Подавляющее большинство спама идет через зараженных троянскими программами пользователей. Так что рассылка через открытые релеи и открытые прокси, уже прошлый день. Статистически, путем использовния nmap, выяснил, что большинство хостов, через которые рассылается спам имеют открытые порты 2001 (Der Spaeher 3; TransScout; Trojan Cow), 5000 (Bubbel; Back Door Setup), 1025 (NetSpy). Список портов используемых троянскими программами: http://www.security-gui.de/portlist.php
Cообщить модератору \| Наверх \| ^


	6. "Размышления о спаме."
	Сообщение от Nickolay on 11-Июн-03, 12:15
	не согласен, что CGI-скрипты - капля в море. через нас спамили дня два-три именно через formmail. закрыл как только пришла жалоба от спамкопа :-( нашел как спамят - закрыл дыру. прошло немного времени они нашли еще одну дырку в этом скрипте. убрал его нафиг. поставил аналогичный, но вроде как более грамотный скрипт...
	Cообщить модератору \| Наверх \| ^


	7. "Размышления о спаме."
	Сообщение от Maxim Chirkov on 11-Июн-03, 13:11
	>не согласен, что CGI-скрипты - капля в море. С CGI, открытыми релеями проксями уже есть достаточное эффективные методы борьбы. Ко мне в ящик, ежедневно, при повальном присутсвии email'а в сети приходит через фильтры всего несколько англоязычных спам-писем. Проблема возникла с русским спамом, поняв, что новые лазейки в cgi, открытые релеи и прокси появляются не так часто и блокируются слишком быстро, они перешли на рассылку троянов пользователям и посылают спам через них. Проблема расслыки через троянских программ в том, что пропадает смысл блокировки в DNSBL системах (сейчас помещаю туда целые DSL сетки, это не так эффективно и слишком жестоко), на момент когда IP рассылающего попадает в список блокировки, троян уже либо блокируют администраторы, либо спамер просто забывает про него. Определять и блокировать такие рассылки нужно в горячую, в момент первой волны, так как второй волны уже не будет, она будет через другой компьютер. Сейчас как раз пишу такую систему, она достаточно жестко блокирует подозрительный хост, в течении первых 5 минут, после прихода спам письма. Потестирую на серии бесплатных web-mail систем, потом попробую в продакшин.
	Cообщить модератору \| Наверх \| ^


	8. "Размышления о спаме."
	Сообщение от Nickolay on 11-Июн-03, 13:28
	согласен и одобрям :-) скажите пожалуйста, на каких бесплатных webmail'ах тестирование будет производиться? (imp???)
	Cообщить модератору \| Наверх \| ^

2. "Другой метод"
Сообщение от Maxim Chirkov on 10-Июн-03, 16:36
Все эксперменты начались с идеи блокирования спам хостов на основании анализа "первой волны" спама. Имея 9000 активных пользователей, из которых, предположим, 300 есть в списке рассылки текущего спамера, можно, теоретически, пропустив и проанализировав 10-50 сообщений текущей рассылки спама, заблокировать источник, защитив остальные 250. Написл тест для обратной проверки на открытые релеи и прокси, за пол часа - поймал два открытый прокси и без того имевшиеся в DSBL. Буду экспериментировать с проверкой на порты используемые троянскими программами. Провалившись с идеей обратной проверки на открытые прокси и релеи по IP, хотел использовать метод обратной проверки реальности пользователя, т.е.: - Cмотрим какой адрес передают в "MAIL FROM:"; - Вычисляем по "host -t mx" MX обслуживающий домен адресата; - Делаем запрос к низшему MX, проверяем примет ли сервер почту для "RCPT TO:" проверяемый_емайл" - Если сервер вернул ошибку - помещаем в списки блокировки IP отправителя и проверяемый емайл. При ближайшей проверке выяснил, что большинство серверов на этапе "RCPT TO:" не проверяют наличия пользователя, а генерируют письмо с ошибкой позже :-( Т.е. метод тоже нежизнеспособен. Метод блокирования при отсутствии открытого 25 порта для IP отправителя, нежизнеспособен, так как в сети множество хостов отправляющих валидные сообщений, но не принимающих соединений из вне. Остается класическая блокировка по DNSBL спискам с его ~ 30% КПД :-(
Cообщить модератору \| Наверх \| ^

3. "еще замечание"
Сообщение от Maxim Chirkov on 10-Июн-03, 16:59
Кстати, нижесприведенная проверка, дает замечательные результаты. check_spamer.sh: #!/bin/sh IP=$1 TEST="`nmap -P0 -p 1025,5000,2001 $IP\|grep open`" if [ "$TEST" = "" ]; then echo Ok. else echo Spamer. fi
Cообщить модератору \| Наверх \| ^

4. "Как посылают спам через FormMail + размышления о спаме"
Сообщение от dawnshade on 10-Июн-03, 17:17
Кстати, tcp 1025 вполне нормальный порт, открываемый 2к и ХП - процесс svchost.exe
Cообщить модератору \| Наверх \| ^

5. "Как посылают спам через FormMail + размышления о спаме"
Сообщение от Maxim Bunin on 10-Июн-03, 17:28
Я сделал так, что formmail не принимает список адресов из формы, а считывает его из файла, созданного ползователем (вне DocumentRoot, public_html)
Cообщить модератору \| Наверх \| ^