Möglichkeiten des Spammens vom Webserver...
Guten Abend, ich würde gerne wissen, welche Grundlagen gegeben sein müssen, dass man (m)einen Webserver zum spammen missbrauchen kann? Man kann das bestimmt auch in den Logfiles erkennen, aber wie? Vielen Dank schon mal... Christian Westendorf
Christian Westendorf wrote:
Guten Abend,
ich würde gerne wissen, welche Grundlagen gegeben sein müssen, dass man (m)einen Webserver zum spammen missbrauchen kann? Man kann das bestimmt auch in den Logfiles erkennen, aber wie?
Die Grundbedingung ist, dass der Webserver die Möglichkeit haben muss, eine Email zu versenden. Zweite Bedingung ist, dass der Spammer die Möglichkeit hat, von extern Inhalte zum Mailen auf den Server zu übertragen. Möglichkeiten dafür sind unter anderem: - falsch gesetzte Rechte (Schreibrechte für anonymus auf /tmp und die Möglichkeit, so dort unter vorhersagbarem Namen ein Script hinzuschreiben und danach vom Server aufzurufen. - Ein nicht abgesichertes Script, welches durch Eingaben dazu gebracht wird, Mails zu versenden. - Eine Anwendung, welche über das Netzwerk erreichbar ist und eine Sicherheitslücke hat. - ein Hammel als Sysadmin, der sich das Passwort für die Serveradministration auf die eine oder andere Art abluchsen lässt, sei das technisch oder eben die psycho-soziale Masche. Hat deine Frage einen realen Hintergrund? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic schrieb:
Die Grundbedingung ist, dass der Webserver die Möglichkeit haben muss, eine Email zu versenden. Zweite Bedingung ist, dass der Spammer die Möglichkeit hat, von extern Inhalte zum Mailen auf den Server zu übertragen.
Möglichkeiten dafür sind unter anderem:
- falsch gesetzte Rechte (Schreibrechte für anonymus auf /tmp und die Möglichkeit, so dort unter vorhersagbarem Namen ein Script hinzuschreiben und danach vom Server aufzurufen.
- Ein nicht abgesichertes Script, welches durch Eingaben dazu gebracht wird, Mails zu versenden.
- Eine Anwendung, welche über das Netzwerk erreichbar ist und eine Sicherheitslücke hat.
- ein Hammel als Sysadmin, der sich das Passwort für die Serveradministration auf die eine oder andere Art abluchsen lässt, sei das technisch oder eben die psycho-soziale Masche.
Hat deine Frage einen realen Hintergrund?
Sandy
Danke erstmal für die schnelle Antwort. Meine Frage hat den Hintergrund, dass mein Server in der Anfangszeit mit einem bescheidenen Script zum spammen missbraucht wurde. danach hatte ich den Server neu aufgesetzt. das Script natürlich nicht wieder installiert ;-). Heute habe ich eine Mail bekommen, von einem Uniserver dass eine Mail nicht zugestellt werden konnte. Diese ging an die Spammer Adresse, obwohl wie gesagt das Script seit dem Neusaufsetzen (Mitte Letzten Jahres) nicht mehr läuft. Also muss doch da wieder was sein oder interpretiere ich das falsch? Gruß Christian Westendorf
Hallo Christian,
Heute habe ich eine Mail bekommen, von einem Uniserver dass eine Mail nicht zugestellt werden konnte. Diese ging an die Spammer Adresse, obwohl wie gesagt das Script seit dem Neusaufsetzen (Mitte Letzten Jahres) nicht mehr läuft. Also muss doch da wieder was sein oder interpretiere ich das falsch?
es kann auch ein sogenannter Joe-Job sein (siehe http://de.wikipedia.org/wiki/Joe-Job ), die im Moment wieder recht aktiv gestreut werden. Unsere beiden Mailserver haben über Ostern so um die 2.000 solcher NDR-Mails bekommen. Wenn's das ist, dann kannst Du beruhigt sein. Kannst Du denn aus der zurückgeleiteten Mail ersehen, von welcher IP diese Mail bei der Uni eingeworfen wurde? -- So long Bernd
Christian Westendorf wrote:
Sandy Drobic schrieb:
Die Grundbedingung ist, dass der Webserver die Möglichkeit haben muss, eine Email zu versenden. Zweite Bedingung ist, dass der Spammer die Möglichkeit hat, von extern Inhalte zum Mailen auf den Server zu übertragen.
Möglichkeiten dafür sind unter anderem:
- falsch gesetzte Rechte (Schreibrechte für anonymus auf /tmp und die Möglichkeit, so dort unter vorhersagbarem Namen ein Script hinzuschreiben und danach vom Server aufzurufen.
- Ein nicht abgesichertes Script, welches durch Eingaben dazu gebracht wird, Mails zu versenden.
- Eine Anwendung, welche über das Netzwerk erreichbar ist und eine Sicherheitslücke hat.
- ein Hammel als Sysadmin, der sich das Passwort für die Serveradministration auf die eine oder andere Art abluchsen lässt, sei das technisch oder eben die psycho-soziale Masche.
Hat deine Frage einen realen Hintergrund?
Sandy
Danke erstmal für die schnelle Antwort. Meine Frage hat den Hintergrund, dass mein Server in der Anfangszeit mit einem bescheidenen Script zum spammen missbraucht wurde. danach hatte ich den Server neu aufgesetzt. das Script natürlich nicht wieder installiert ;-). Heute habe ich eine Mail bekommen, von einem Uniserver dass eine Mail nicht zugestellt werden konnte. Diese ging an die Spammer Adresse, obwohl wie gesagt das Script seit dem Neusaufsetzen (Mitte Letzten Jahres) nicht mehr läuft. Also muss doch da wieder was sein oder interpretiere ich das falsch?
Wahrscheinlich ist das eine Fehlinterpretation. Ich habe einige abgeschaltete Adressen, für die nach Jahren noch Emails hereinkommen. Natürlich handelt es sich dabei samt und sonders um Spammails. Hintergrund ist, dass Spammer entgegen vielen Vermutungen sich nicht die Mühe machen, eine Adresse zu überprüfen, sondern einfach alle Adressen durchprobieren. Offensichtlich ist es effizienter für die Spammer, möglichst alle Adressen incl. falsche durchzuprobieren als die falschen aus der Liste auszusondern. Eine zweite Besonderheit von Spammern ist, dass sie gerne die Absenderadressen fälschen. Früher haben sie einfach ungültige Adressen genommen, heute nehmen sie meistens eine weitere Opferadresse als Absender. Das hat zum einen den Vorteil für den Spammer, dass eine Adressüberprüfung erfolgreich bestätigt, dass die Adresse existiert. Zum anderen wird die Email, falls sie zuerst angenommen wird, dann der Server feststellt, dass er sie nicht zustellen kann und deshalb bounced, sie dann an die Absenderadresse zugestellt wird. Es wird also der trottelige Mailserver, der eine nicht zustellbare Mail annimmt und dann aber als nicht zustellbar zurückschicken will, als unfreiwilliger Relayserver missbraucht. Diese Art von Relay nennt man "Backscatter". Server, die so blöd sind, landen schnell auf den Blacklists. Ich nehme an, dass du so eine "Backscatter-Mail" erhalten hast. Genau sieht man das aber nur in den Received-Headerzeilen. Und auch diese sind oft genug gefälscht. Da muss man schon genau hinschauen. (^-^) Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic schrieb:
Christian Westendorf wrote:
Sandy Drobic schrieb:
Die Grundbedingung ist, dass der Webserver die Möglichkeit haben muss, eine Email zu versenden. Zweite Bedingung ist, dass der Spammer die Möglichkeit hat, von extern Inhalte zum Mailen auf den Server zu übertragen.
Möglichkeiten dafür sind unter anderem:
- falsch gesetzte Rechte (Schreibrechte für anonymus auf /tmp und die Möglichkeit, so dort unter vorhersagbarem Namen ein Script hinzuschreiben und danach vom Server aufzurufen.
- Ein nicht abgesichertes Script, welches durch Eingaben dazu gebracht wird, Mails zu versenden.
- Eine Anwendung, welche über das Netzwerk erreichbar ist und eine Sicherheitslücke hat.
- ein Hammel als Sysadmin, der sich das Passwort für die Serveradministration auf die eine oder andere Art abluchsen lässt, sei das technisch oder eben die psycho-soziale Masche.
Hat deine Frage einen realen Hintergrund?
Sandy
Danke erstmal für die schnelle Antwort. Meine Frage hat den Hintergrund, dass mein Server in der Anfangszeit mit einem bescheidenen Script zum spammen missbraucht wurde. danach hatte ich den Server neu aufgesetzt. das Script natürlich nicht wieder installiert ;-). Heute habe ich eine Mail bekommen, von einem Uniserver dass eine Mail nicht zugestellt werden konnte. Diese ging an die Spammer Adresse, obwohl wie gesagt das Script seit dem Neusaufsetzen (Mitte Letzten Jahres) nicht mehr läuft. Also muss doch da wieder was sein oder interpretiere ich das falsch?
Wahrscheinlich ist das eine Fehlinterpretation. Ich habe einige abgeschaltete Adressen, für die nach Jahren noch Emails hereinkommen. Natürlich handelt es sich dabei samt und sonders um Spammails. Hintergrund ist, dass Spammer entgegen vielen Vermutungen sich nicht die Mühe machen, eine Adresse zu überprüfen, sondern einfach alle Adressen durchprobieren. Offensichtlich ist es effizienter für die Spammer, möglichst alle Adressen incl. falsche durchzuprobieren als die falschen aus der Liste auszusondern.
Eine zweite Besonderheit von Spammern ist, dass sie gerne die Absenderadressen fälschen. Früher haben sie einfach ungültige Adressen genommen, heute nehmen sie meistens eine weitere Opferadresse als Absender.
Das hat zum einen den Vorteil für den Spammer, dass eine Adressüberprüfung erfolgreich bestätigt, dass die Adresse existiert.
Zum anderen wird die Email, falls sie zuerst angenommen wird, dann der Server feststellt, dass er sie nicht zustellen kann und deshalb bounced, sie dann an die Absenderadresse zugestellt wird. Es wird also der trottelige Mailserver, der eine nicht zustellbare Mail annimmt und dann aber als nicht zustellbar zurückschicken will, als unfreiwilliger Relayserver missbraucht. Diese Art von Relay nennt man "Backscatter". Server, die so blöd sind, landen schnell auf den Blacklists. Ich nehme an, dass du so eine "Backscatter-Mail" erhalten hast.
Genau sieht man das aber nur in den Received-Headerzeilen. Und auch diese sind oft genug gefälscht. Da muss man schon genau hinschauen. (^-^)
Sandy
Also der Header, der Mail sieht so aus:
Betreff:
Fwd: Canadian online RX store
Von:
legal1@westisweb.de
Datum:
Mon, 17 Apr 2006 12:15:55 +0000
An:
lbarrett@chemie.uni-marburg.de
Return-Path:
Christian Westendorf wrote:
Betreff: Fwd: Canadian online RX store Von: legal1@westisweb.de Datum: Mon, 17 Apr 2006 12:15:55 +0000
An: lbarrett@chemie.uni-marburg.de
Okay, so weit so gut.
Return-Path:
Received: from mail.manufacture.com.tw ([59.93.205.237]) by vhrz39.hrz.uni-marburg.de (8.13.4/8.13.4/Debian-3sarge1) with SMTP id k3HCCduv008539 for ; Mon, 17 Apr 2006
uni-marburg.de bekommt von mail.manufacture.com.tw eine Mail, die angeblich von dir ist.
14:12:52 +0200 Received: from 82.89.120.203 (SquirrelMail authenticated user legal1@westisweb.de); by mail.manufacture.com.tw with HTTP id Ab44qw9z063024396; Mon, 17 Apr 2006 12:15:55 +0000
Und du schickt eine Mail an uni-marburg.de über den taiwanisischen Server, ganz klar, ist der übliche Weg für so eine Mail... NICHT! Dies ist mit 99,8%er Sicherheit eine gefälschte Headerzeile, um vorzutäuschen, dass die Mail ursprünglich von der IP 82.89.120.203 gekommen sei.
X-MailScanner-SpamCheck: spam, SpamAssassin (score=18.581, required 5, BAYES_99 3.00, BIZ_TLD 2.29, HTML_30_40 0.02, HTML_MESSAGE 0.00, MIME_HTML_ONLY 0.18, NO_REAL_NAME 0.01, RCVD_IN_XBL 3.08, TW_QR 0.08, URIBL_OB_SURBL 3.21, URIBL_SBL 1.00, URIBL_SC_SURBL 4.26, URIBL_WS_SURBL 1.46)
Vermutlich gebounced wegen hohem SA Wert.
Auf welche Dinge sollte ich bsonders achten, auch im Falle eines teils gefälschten Headers? Welche IP ist hier die ausschlaggebende?
Die Received-Zeilen oben zeigen den Weg der Email. Vertrauen kannst du aber nur der Zeile, die dein eigener Server reingeschrieben hat. Der Rest kann gefälscht sein und wie in diesem Beispiel ist es auch oft für Spammails. Du kannst beruhigt sein, die Mail ist nicht von deinem Server gekommen. Wenn ich der Admin von `dig mx chemie.uni-marburg.de +short` wäre, würde ich nicht so gut schlafen. # dig mx chemie.uni-marburg.de +short 50 vhrz39.HRZ.uni-marburg.de. 10 pc15580.chemie.uni-marburg.de. Die typische alte Konfiguration, ein primary und ein fallback. Der primäre Server, pc15580.chemie.uni-marburg.de, hat wahrscheinlich eine Liste der gültigen Adressen, der secundäre vhrz39.HRZ.uni-marburg.de, der vermutlich ganz woanders steht, wahrscheinlich nicht. Spammer wissen das auch. Also nimmt dieser Trottelserver erst einmal alles entgegen und bounced dann die Spammails. Spammer müssen diesen Server lieben! Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic schrieb:
Christian Westendorf wrote:
Betreff: Fwd: Canadian online RX store Von: legal1@westisweb.de Datum: Mon, 17 Apr 2006 12:15:55 +0000
An: lbarrett@chemie.uni-marburg.de
Okay, so weit so gut.
Return-Path:
Received: from mail.manufacture.com.tw ([59.93.205.237]) by vhrz39.hrz.uni-marburg.de (8.13.4/8.13.4/Debian-3sarge1) with SMTP id k3HCCduv008539 for ; Mon, 17 Apr 2006 uni-marburg.de bekommt von mail.manufacture.com.tw eine Mail, die angeblich von dir ist.
14:12:52 +0200 Received: from 82.89.120.203 (SquirrelMail authenticated user legal1@westisweb.de); by mail.manufacture.com.tw with HTTP id Ab44qw9z063024396; Mon, 17 Apr 2006 12:15:55 +0000
Und du schickt eine Mail an uni-marburg.de über den taiwanisischen Server, ganz klar, ist der übliche Weg für so eine Mail... NICHT!
Dies ist mit 99,8%er Sicherheit eine gefälschte Headerzeile, um vorzutäuschen, dass die Mail ursprünglich von der IP 82.89.120.203 gekommen sei.
X-MailScanner-SpamCheck: spam, SpamAssassin (score=18.581, required 5, BAYES_99 3.00, BIZ_TLD 2.29, HTML_30_40 0.02, HTML_MESSAGE 0.00, MIME_HTML_ONLY 0.18, NO_REAL_NAME 0.01, RCVD_IN_XBL 3.08, TW_QR 0.08, URIBL_OB_SURBL 3.21, URIBL_SBL 1.00, URIBL_SC_SURBL 4.26, URIBL_WS_SURBL 1.46)
Vermutlich gebounced wegen hohem SA Wert.
Auf welche Dinge sollte ich bsonders achten, auch im Falle eines teils gefälschten Headers? Welche IP ist hier die ausschlaggebende?
Die Received-Zeilen oben zeigen den Weg der Email. Vertrauen kannst du aber nur der Zeile, die dein eigener Server reingeschrieben hat. Der Rest kann gefälscht sein und wie in diesem Beispiel ist es auch oft für Spammails.
Du kannst beruhigt sein, die Mail ist nicht von deinem Server gekommen. Wenn ich der Admin von `dig mx chemie.uni-marburg.de +short` wäre, würde ich nicht so gut schlafen.
# dig mx chemie.uni-marburg.de +short 50 vhrz39.HRZ.uni-marburg.de. 10 pc15580.chemie.uni-marburg.de.
Die typische alte Konfiguration, ein primary und ein fallback. Der primäre Server, pc15580.chemie.uni-marburg.de, hat wahrscheinlich eine Liste der gültigen Adressen, der secundäre vhrz39.HRZ.uni-marburg.de, der vermutlich ganz woanders steht, wahrscheinlich nicht. Spammer wissen das auch. Also nimmt dieser Trottelserver erst einmal alles entgegen und bounced dann die Spammails. Spammer müssen diesen Server lieben!
Sandy
Vielen Dank für diese ausführliche Erläuterung. Wo kann ich denn Informationen finden wie ich einen solchen Header auseinander pflücken kann um zukünftig nicht den header von jeder Mail hier posten zu müssen um Sicherheit zu haben? ;-) Christian
Am Montag, 17. April 2006 22:40 schrieb Christian Westendorf:
(...). Vielen Dank für diese ausführliche Erläuterung. Wo kann ich denn Informationen finden wie ich einen solchen Header auseinander pflücken kann um zukünftig nicht den header von jeder Mail hier posten zu müssen um Sicherheit zu haben? ;-)
Usenet, de.admin.net-abuse.mail, für den Anfang: http://www.faqs.org/faqs/de-net-abuse/email-header-faq/ http://www.faqs.org/faqs/de-net-abuse/mail-faq/ HTH Jan -- If at first you don't succeed, redefine success.
Hallo Christian,
Also der Header, der Mail sieht so aus:
Betreff: Fwd: Canadian online RX store Von: legal1@westisweb.de Datum: Mon, 17 Apr 2006 12:15:55 +0000
An: lbarrett@chemie.uni-marburg.de
Return-Path:
Received: from mail.manufacture.com.tw ([59.93.205.237]) by vhrz39.hrz.uni-marburg.de (8.13.4/8.13.4/Debian-3sarge1) with SMTP id k3HCCduv008539 for ; Mon, 17 Apr 2006 14:12:52 +0200 Received: from 82.89.120.203 (SquirrelMail authenticated user legal1@westisweb.de); by mail.manufacture.com.tw with HTTP id Ab44qw9z063024396; Mon, 17 Apr 2006 12:15:55 +0000 Nachricht-ID: User-Agent: SquirrelMail/1.4.3a X-Mailer: SquirrelMail/1.4.3a MIME-Version: 1.0 Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: 7bit X-Priority: 3 (Normal) Importance: Normal X-UniMR-MailScanner-Information: see http://web.uni-marburg.de/hrz/services/spamcheck/ X-UniMR-MailScanner: Found to be clean X-MailScanner-SpamCheck: spam, SpamAssassin (score=18.581, required 5, BAYES_99 3.00, BIZ_TLD 2.29, HTML_30_40 0.02, HTML_MESSAGE 0.00, MIME_HTML_ONLY 0.18, NO_REAL_NAME 0.01, RCVD_IN_XBL 3.08, TW_QR 0.08, URIBL_OB_SURBL 3.21, URIBL_SBL 1.00, URIBL_SC_SURBL 4.26, URIBL_WS_SURBL 1.46) X-UniMR-MailScanner-SpamScore: ssssssssssssssssss X-MailScanner-From: legal1@westisweb.de Auf welche Dinge sollte ich bsonders achten, auch im Falle eines teils gefälschten Headers? Welche IP ist hier die ausschlaggebende?
Christian
zunächst mal: wenn die Uni Marburg eine Mail von der IP-Adresse 59.93.205.237 annimmt, ist sie schon selber schuld. Normalerweise prüft man beim Empfang von Mails, ob sich der absendende Server ermitteln lässt. Zu dieser IP gibt's keinen PTR-Record. Damit wäre der erste Received Eintrag schon spamverdächtig - oder der postmaster ist eine Schlafmütze und weiss nichts über den DNS. Ausserdem ist die IP 59.93.205.237 bei diversen Black-Lists gelistet. Dann aber: Die IP 82.89.120.203 weist auf einen italienischen Server, nicht auf Deinen. Summa Summarum: An der Mail ist fast alles faul und falsch. Dein Mail-Server scheint unbeteiligt. By the way: Ich habe mal einen grep über unser Quarantäne-Verzeichnis laufen lassen: Die IP 59.93.205.237 ist auch dabei. Was mich interessieren würde ist der Eintrag in Deine /var/log/mail zu dieser obigen Mail. Wer hat Dich da connected und wie ging's weiter. -- So long Bernd
ich würde gerne wissen, welche Grundlagen gegeben sein müssen, dass man (m)einen Webserver zum spammen missbrauchen kann? Man kann das bestimmt auch in den Logfiles erkennen, aber wie? ich beschränke mich mal nur auf den Webserver. Wenn Dein Webserver Mails
Hallo Christian,
transportiert, die von Dritten "eingeworfen" werden, ist's ein offenes
Relay.
Wenn Dein Webserver z.B. "domain.tld" heisst, dann sollte er nur Mails
weiterleiten, die von Deiner Seite kommen, z.B. aus Deinem Büro.
Probier mal folgendes:
--> telnet domain.tld 25
(es meldet sich Dein MTA (Mail-Transport-Agent) mit "220 domain.tld ESMTP"
--> HELO mail.domain.tld
(Dein MTA sagt "250 domain.tld")
--> MAIL FROM:
participants (4)
-
Bernd Glueckert
-
Christian Westendorf
-
Jan Ritzerfeld
-
Sandy Drobic