HOME
Galerie
Softwaretechnik
Linux
Sonstiges
Contact
Danke, Auto!
Dunkel war's...Spammer-Angriff
Ein verrückter Kerl hat heute morgen versucht, Spam über die Kommentarfunktion der shredzone zu verschicken.
Natürlich ist er daran gescheitert. Sein Versuch galt alten, fehlerhaften Perl-Mailscripten. Durch speziell manipulierte Texte ist es möglich, solchen fehlerhaften Scripten weitere Empfänger unterzujubeln, da sie den Text ungefiltert an sendmail weitergeben und jenes die Textteile als Mailheader interpretiert.
Die shredzone verwendet keine solchen Scripte. Trotzdem war sein Angriff in vielerlei Hinsicht interessant.
Er postete insgesamt sechs Kommentare in nur 35 Sekunden und mit einer Besonderheit: sein manipulierter Header wanderte bei jedem Kommentar, den er abschickte, in den jeweils nächsten Parameter des Formulars – natürlich auch in hidden-Felder und sogar in checkboxen.
Das kann nur bedeuten, dass er ein Tool oder ein Script verwendet, da solche Manipulationen mit einem normalen Browser nicht möglich sind. Eines seiner Kommentare sah dann so aus:
znundj@shredzone.de Content-Type: multipart/mixed; boundary="===============1924061946==" MIME-Version: 1.0 Subject: 173d2a6f To: znundj@shredzone.de bcc: bergkoch8@aol.com From: znundj@shredzone.de This is a multi-part message in MIME format. --===============1924061946== Content-Type: text/plain; charset="us-ascii" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit urlcsiiou --===============1924061946==--
Der Angreifer muss eine Möglichkeit haben, herauszufinden, ob mein Mailscript angreifbar ist. Dazu dient die E-Mailadresse bergkoch8@aol.com. Wenn der Angriff erfolgreich war, landet dort eine Blindkopie der E-Mail, und am Absender kann er dann leicht sehen, welche Domain angreifbar gewesen ist. Die E-Mailadresse steht also unter Kontrolle des Spammers.
Eine Suche bei Google nach der E-Mailadresse fand gleich 720 Treffer! Ein schneller Überblick der Treffer ergab, dass die E-Mailadresse in vielen anderen Gästebüchern und Kommentaren zu finden ist. Der Angriff war also nicht zufällig, sondern Teil einer momentan laufenden Spammerattacke. Auf einer der Seiten stand auch, dass der Angreifer ein entdecktes fehlerhaftes Mailscript umgehend zum Versand von Spam ausnutzt.
Eine Analyse meines Apache-Logfiles für diesen Zeitraum ergab, dass der Angreifer aus Belgien stammt und offenbar ein Kunde von Skynet ist. Ein entsprechender Abuse-Complaint ging bereits raus. Ich hoffe, dass dem Kerl damit das Handwerk gelegt werden kann.
Trotz allem: solche Angriffe auf fehlerhafte Mail-Scripte sind nichts Ungewöhnliches. Betroffen sind in der Regel Kontaktformulare, obwohl bei diesem Angriff alles ausprobiert wird, was auch nur entfernteste Ähnlichkeit mit einem Kontaktformular hat. Achtet also bitte darauf, dass eure Mail-Scripte gegen diese Angriffe geschützt sind. Im Spam steht sonst euer Server als Absender und wird in entsprechende Blacklists eingetragen.
Comments
Hallo!
Ich habe auch diese Art von Angriffen gehabt. Bei mir hat´s ebenfalls nicht geklappt und ich hatte die gleiche Vermutung: Jemand testet mit einem Script die Verwundbarkeit von Forms. In den Apache-Logs konnte ich sehen, dass er von der IP 193.227.17.30 alle meine Seiten aufgerufen hat, auf denen ein Formfeld ist. Ruft man die Adresse im Browser auf, kommt eine "Under-Konstruktion Site" eines IIS.
War es bei Dir die gleiche IP? Bei wem kann man eine Beschwerde anmelden?
Gruß Stefan
Deine IP-Adresse stammt von der Tanta-Universität in Ägypten. Wenn ich einen Tipp abgeben darf, handelt es sich um einen gekaperten Uni-Rechner, über den der Angriff gemacht wurde. Eine Beschwerde bei der Uni dürfte sinnlos sein.
Wenn allerdings wieder bergkoch8@aol.com als E-Mailadresse verwendet wurde, kannst du einen Complaint an AOL schicken, dass die diese E-Mailadresse endlich mal dicht machen. Aber dann kommt halt die nächste Adresse zum Einsatz.
Im Endeffekt hilft wohl (leider) nur, Captchas zu verwenden, also diese komischen Grafiken mit den Buchstaben drin. Seitdem habe ich Ruhe.
Ja, es war bergkoch8@aol.com. Aber bei AOL müsste man den doch ausfindig machen können, oder? Oder gibt es bei AOL auch anonyme Emailadresse so wie bei den ganzen Freemailern??
Nicht dass ich wüsste. Aber es dürfte nicht schwer sein, eine Weile einen AOL-Account mit gefälschten Adressdaten laufen zu lassen. aol.com bietet zum Beispiel eine 50-tägige Gratis-Testphase.
Vielleicht hilft ein AOL-Complaint wirklich. Die passende E-Mailadresse findest du hier: http://postmaster.aol.com/guidelines/junk.html#abuse .
Da kann ich mithalten. Bei mir hieß die BCC-Adresse:
bcc: mhkoch321@aol.com
Also sehr ähnlich. Das ist bestimmt derselbe.
Naja, aber nun weiß ich wenigstens, was das bedeutet. Vielen Dank dafür.
*lol* Ist der bergkoch8 mittlerweile gesperrt? 
In den letzten Tagen hatte ich übrigens wieder eine Angriffswelle der Art von allen möglichen Teilen der Welt aus (noch mit bergkoch8). Es sieht wirklich danach aus, dass der Angreifer gekaperte Rechner benutzt.
Nun ist bergkoch8@aol.com bei mir angekommen und hat mein Formular missbraucht. Offensichtlich ist er nicht gesprerrt bei AOL. Ich glaube ich versuche dann auch mal, das an AOL zu schreiben. Der nervt.
Der Angriff wird leider weitergehen. In anderen Foren wird von weiteren E-Mailadressen berichtet, anscheinend hat er mindestens fünf davon.
Das Schöne ist aber: sein Script probiert alle Parameter des Formulars durch. In jeweils einem wird die E-Mail geparkt, die anderen Parameter enthalten alle nur eine zufällige E-Mailadresse mit der eigenen Domain.
Was gegen seinen Angriff also helfen dürfte, ist ganz einfach ein <input type="hidden" name="foo" value="bar"> im Formular mit einzubauen. Wenn dann im Parameter "foo" kein "bar" zurückkommt, handelt es sich um so einen Angriff und das Posting kann direkt entsorgt werden.
type="hidden" hilft extrem wenig. Hidden ist es nur für dein menschliches Auge. Scripte können das sehr leicht auswerten. Mein Script würde das machen, da die hiddens zu ignorieren eine Ausnahmebehandlung notwendig wäre.
Dein Script vielleicht. Ich habe auch nie behauptet, dass ein Hidden-Feld alle Scripte abwehren kann.
Jenes Spammer-Script, um das es hier geht, und das nach all den Monaten immer noch recht aktuell ist, fällt jedoch auf diesen banalen Trick voll herein.
ATOM 1.0