PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Was tut ihr gegen Spam ... Webmaster



prilblume
18.12.2003, 03:06
Hallo an alle
Ich habe schon häufiger die ein oder andere Spampost hier reingepostet .
Im Moment sieht es aber wohl so aus das die Spammer, so kurz vor Weihnachten richtig Gas geben .
Unter anderem dieser hier ...info [at] smyrnagroup.net <info [at] smyrnagroup.net>
Unser Problem ist wir betreiben eine CommUnity und stehen kurz vor dem Relaunch.Wir benutzen dann nur noch ein privates Nachrichtensystem und hoffen noch bis Ende Dezember damit online gehen zu können.
Natürlich haben die Mitglieder , die vorher ausgelesen wurden, schlechte Karten .
Dabei haben wir bemerkt das es nichteinmal ausreicht diese email Adresse im Klartext auf Datenbanken zu legen .
Wir hatten im Jahr 2003 4 Angriffe auf 2 Datenbanken davon war einer erfolgreich . Die Person ist zwar bekannt, hat aber seinen Wohnsitz in China und ist 13 Jahre alt .
Wir glauben das Spammer gezielt Scriptkiddis suchen die diese Programme erstellen .
Unser Problem ist, das wir vor 4 Jahren klein angefangen haben und alle (wir sind jetzt 18 Leute) den ganzen Kram erstmal lernen mußten . Nicht ganz , 2 konnten es schon vorher.
Nach und nach wuchs die Community und wir wurden von Providern zu Providern geschickt . Wir wollten aber zu dem Zeitpunkt keine Server da sich keiner richtig mit der Administration auskannte und sind dann als wir wieder mal einen blauen Brief vom Provider bekommen hatten, auf gemanagte Server Umgestiegen . Dies hatte wiederum den Nachteil das nicht alle Scripte liefen und die Email-Adressen begrenzt waren .
Anfang 2003 mußten dann 2 Root Server her . Die sind mittlerweile auch erschwinglich, bedeuten aber eine großes Wissen der Administration wegen.
Problem war und ist immer ... ein paar Besucher ist bei jedem Provider Ok und man hat auch keine Spamrobots. Wenns dann aber mehr Besucher werden und die Spamrobots keinen Erfolg haben ...
Ab April 2003 ging es dann los mit den Hacks. Wir hatten zu diesen Zeitpunkt schon einen Spamschutz für einen Teil der Mitglieder eingebaut . Also gingen dieses Hacks direkt auf die Datenbanken . Auch der Versuch die Datenbanken auf einen anderen Server zu packen, hielt die Scripptis nicht ab .
Jetzt arbeiten wir seit 4 Montaten daran die komplette Plattform umzustellen und private Daten werden nur noch verschlüsselt eingetragen . Der Nachteil, die Pages werden langsamer geladen und das trotz Kompremierung
Diese Geschicjte hat uns viel Zeit und Geld gekostet und hoffen das dies jetzt funktioniert . Sonst wüssten wir echt nicht mehr was gemacht werden könnten .
Wir hatten bisher im Jahr 2003 über 1300 Mitglieder die sich wieder abgemeldet haben und die uns als Grund "wegen Spam angegeben haben" .Diese meinten das seit dem sie bei uns angemeldet sind ein höheres Spamaufkommen haben.
Klar könnte man jetzt sagen, die fanden die Unity nicht so gut , oder oder . Nein das sich andere , die melden sich nicht .Diese waren recht aktive Mitglieder . Nicht aktive werden sowieso nach 2 Monaten gelöscht .
Wir sehen das Problem das sich die User immer mehr überlegen ob man sich überhaupt noch mit eine Email-Adresse anmelden soll.Nur ohne eine Adresse kann die Unity nicht funktionieren. Wohin mit den Zugangsdaten ?
Wir haben selbst drei Verteiler und hatten im Jahr 2003 ca 30% weniger Anmeldungen als noch 2002 .
Wir ärgern uns deshalb so über den Mißbrauch von Persönlichkeitsrechten, da wir selbst immer versuchen korrekt mit unseren Mitgliedern und Besuchern umzugehen.Das ist bei uns besonders Ärgerlich da ein sehr großer Teil mit eigenem Bild plus Adresse und allem angemeldet sind und haben selbst eine Emailadresse bei uns .
Meine Frage , was macht ihr um euch vor diesen Sachen zu schützen.Vielleicht eher ein Frage an Community_Webmasters mit Servern und einigen Mitgliedern.
Wir vermuten das die großen Sites ähnliches Prinzip verwenden .Anfragen an die wurden aber fast nie beantwortet und man sollte ja nicht meinen das alle großen Sites besonderen Wert auf so einen Schutz legen.
Ich poste diesen Thread deshlab um auch vielleicht Kontakt mit Programmierern oder Webmastern zu bekommen, mit denen man ein paar Codes austauschen kann um eine Verbesserung zu erzielen .
Wir Arbeiten mit PHP, MySql,Perl und C
Gerne würden wir auch erfahren ob Verschlüsselungen bekannt sind, die sich selbst umschreiben . Sagen wir per Zeit oder Alphabet . Interesse auch an verschiedenen Parsern .
Danke für Antworten und aan alle ...
weniger Spam und schöne Weihnachten ;)

testkeintest
20.12.2003, 16:02
---> Nichts für ungut, aber so wie Du das beschreibts genügen ein/zwei kurze Rezepte nicht. Ihr solltet Euch damit an ein Linux-Systemhaus mit Schwerpunkt Sicherheit wenden (mit entsprechenden Referenzen aber bitte, keine Garagen-Greenhorns). Und nein, mir fällt da momentan keines ein.



Wir hatten im Jahr 2003 4 Angriffe auf 2 Datenbanken davon war einer erfolgreich . Die Person ist zwar bekannt, hat aber seinen Wohnsitz in China und ist 13 Jahre alt .

Ihr habt doch nicht etwa die Datenbank direkt im Internet? Firewall davor oder zumindest Zugriffsbeschränkungen auf die eigene IP?
---> Ich hab sowas nicht ausprobiert (vor allem unter Last), aber schaut euch mal dieses Konzept hier an http://uml.openconsultancy.com/
Damit sollte es möglich sein den eigentlichen Rechner als "nur-firewall" zu benutzen und einzelne "Applikationen/Dienste" in einer jeweils eigenen chroot-Umgebung laufen zu lassen. Alternative halt extra-Hardware (und entsprechende Verkabelung).


... auf gemanagte Server Umgestiegen . Dies hatte wiederum den Nachteil das nicht alle Scripte liefen und die Email-Adressen begrenzt waren .

Hmm, mir fällt eigentlich nicht ein, was unbedingt als root laufen muss. Evt. findet ihr einen provider, der "Zwischendinger" erlaubt, dass ein rc.local eure Sachen aufruft und alles halt mit anderem prefix/relocated installiert wird.
Jedenfalls hoffe ich mal, dass ihr (mehr oder weniger?) automatische Sicherheitsupdates durchführt und entsprechende Mailinglisten abonniert habt (um dringende Patches direkt einzuspielen) ??

Die Sache mit den e-mail Adressen hat wohl mit dem Preis von confixx-Lizenzen zusammen.

prilblume
21.12.2003, 09:11
Hallo testkeintest
Vielen Dank für deine Antwort.
Wir haben die Datenb. direkt im Internet. Die sind aber seit ein paar Wochen nur über bestimmte IP`s zu erreichen und liegen auch nicht auf die gleichen Server.
Sicherheitsupdates per Cronjobs,Patches usw. werden alle gemacht .Mittlerweile wissen wir aber, das Hacks vor dem eigentlichem Hack ablaufen .
Und das dann so...
Es werden Lücken gesucht und gefunden wobei das aufspielen des Patches gewollt ist um dann an die eigentliche Lücke zu kommen . Der Umstand das diese Patches in den meisten Fällen innerhalb von Stunden verfügbar sind und in den darauf folgenden Stunden und Tagen immer wieder als neue Version erscheint, ist deshalb so, da die ersten 4 oder 5 Versionen neue Türen öffnen .Kein Programmierer kann in kürzester Zeit ein Lücke zu 100% schließen an der ein guter Hacker Wochen arbeitet.
In vielen Fällen wurde erst spät entdeckt das gerade dieser Patch gewollt war .
Das sind aber eher die, die aufdecken wollen und wirklich gut sind . Die Scriptkiddis bekommen ein paar yen oder Dolar oder was auch immer . Gerne genommen aus auch Indien und Korea .Die sind so dreist , die verwischen ihre Spuren noch nichteinmal ,weil sie wissen, es kann ihnen eh keiner was .
z.B. Freemaildienste .Ich möchte keine Namen nennen . Es verkauft wohl kein Dienst in Deutschland seine Email-Adressen .Trotzdem waren und sind einige Dienste wie Selbstbedienungsläden und die Sicherheit war,ist so schlampig,das Passwörter im Klartext übermittelt wurden/werden . Da haben sich Hacker und Spider richtig bedient.
Wir wissen auch , das jede große Site Hacks erfährt diese aber nie zugibt. Außer wenn sie es müssen oder nichts anderes mehr übrig bleibt, weil z.B. Datenbanken von Kunden futsch oder Pages nicht erreichbar sind. Es wird dann halt schnell die Kopie des Angebots gefahren und mit den Datenbanken und anderem dauert es dann ein wenig .
Auf den Sites ist dann zu lesen . "Moment wegen Updates nicht zu erreichen."
Wir haben einfach das Problem das sich nur 2 Leute mit der Rootumgebung auskennen und die haben sich jetzt entschloßen die ganze Umgebung zu modifizieren .Einer davon arbeitet bei einer Firma die auch mit dieser Umstellung ins Jahr 2004 gehen und sagen "Kein Programm ist Sicher, wenn es davon 100000 Kopien gibt " Vorteil:Umgebung gibt es so nur einmal . Nachteil:Patches müssen selbst geschrieben werden und die Administration ist umständlicher .
Würde mich aber weiterhin über Kontakt mit Webmastern freuen .
gruß prilblume

testkeintest
21.12.2003, 11:42
Wir haben einfach das Problem das sich nur 2 Leute mit der Rootumgebung auskennen und die haben sich jetzt entschloßen die ganze Umgebung zu modifizieren.
...
Würde mich aber weiterhin über Kontakt mit Webmastern freuen .

Wie gesagt, meine starke Empfehlung ist, dass ihr professionelle Hilfe in Anspruch nehmt. Allein die Sache vom Webmaster sind solche Sachen ja nicht (Webmaster geht in Richtung Inhalte, nicht Systemadministration).

Klar ist, wenn ihr Profis auf eure Seite zieht, dann könntet Ihr das sogar gefahrlos unter Windows 2000 laufen lassen. Es kommt einfach auch (und gerade) auf Know-how und die richtige Verkabelung an. Siehe z.B. http://www.heise.de/security/news/meldung/40856
Die Leute haben sich inzwischen entschieden Ihre Firewall zu deinstallieren, um vielleicht doch noch Spannung in den Hack-Wettbewerb zu bringen.

Vor dem Kontakt mit einem SIcherheits-Systemhaus solltet ihr euch natürlich auch selbst ein wenig informieren.
Z.B. welche optionen es unter linux mit "system/program hardening" gibt oder ob ein Standard-Linux da der richtige Ansatz ist (aber auch da gibt es keine schlüsselfertigen Lösungen).
Andere Betriebssysteme/distros wären z.B:
http://www.openbsd.org/
http://immunix.org/
Gerade zum beliebten Buffer-overflow schaut euch mal das an:
http://immunix.org/stackguard.html
http://lwn.net/Articles/31312/
http://www.grsecurity.net/
Manche Programme wie J2EE haben damit evt. Probleme, wegen fehlender Trennung von von Daten und Code, aus der Wikipedia:

Because of the security implications of self-modifying code, some operating systems go to lengths to rule it out. Recent versions of OpenBSD, for instance, have a feature known as W^X (for "write xor execute", meaning a program can only write, or execute, but not both) which inhibits alteration of memory pages which harbor executable code. Programs which depend upon rewriting their own machine code cannot execute in such an environment.

Werft den Leuten mal ein, zwei dieser Begriffe an den Kopf (W^X, grsecurity) und schon habt ihr ein wenig vorgesiebt. Wer übrigbleibt sollte natürlich trotzdem Referenzen haben etc.
Viel Erfolg.

P.S. bessere scriptkiddies scannen auf Vorrat und halten sich eine Datenbank mit der von dir verwendeten Version. Da hilft nur 1) noch schneller sein 2) sichere Umgebung (s.o.)