PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bekommt das Forum ungebetenen Besuch?



Eniac
26.10.2002, 16:03
Tach zusammen,
bevor es zu irgendwelchen Missverständnissen kommt: ich meine mit meiner Frage nicht die im Forum anwesenden und mitlesenden Spammer, sondern ihre digitalen Helfershelfer, die verfluchten Spider.
Deshalb richtet sich meine Fragen zuerst einmal an Antispam:
Wird antispam.de und das Forum von Harvestern heimgesucht? Falls ja und davon gehe ich mal aus, welche User-agents lassen sich anhand der Logfiles identifizieren und woher kommen sie? Sind Gegenmassnahmen (Teergruben, Traps etc.) getroffen oder geplant? Gibt es z.B. auch Scans auf formmail.pl oder Relayversuche?
Natürlich sind auch die anderen user hier im Forum aufgerufen, ihre Erfahrungen und Abwehrmassnahmen vorzustellen und darüber zu diskutieren.

Grüsse
Eniac



--
Das Internet wurde geschaffen um auch nach einem Atomschlag die weltweite Versorgung mit Fickelbildchen, Warez und MP3-Dateien sicherzustellen. Bill Gates hat es erfunden und heute wird es von AOL exklusiv vertrieben. Das zugrunde liegende Prinzip heißt Fido, benannt nach Boris Beckers Hund.[HG Bickel/daful]

mana
26.10.2002, 17:18
User-Agents sind nur ganz Normale zu verzeichnen, sprich MSIE von 5 - 6 und dann einige Mozillas.
Scans auf formmail.pl werden auch keine verzeichnet und Relayversuche haben wir nicht mehr, als andere auch.

Alles im normalen Rahmen, würde ich sagen!


Abuse [at] Antispam.de,
http://www.antispam-ev.de
Antispam.de - Zeigen Sie Offensive!

DocSnyder
27.10.2002, 02:43
> Wird antispam.de und das Forum von Harvestern heimgesucht?
Das lässt sich leicht mit einer Spam-Trap feststellen:
Friss, Spammer, friss: aafasba [at] pink.docsnyder.de
Wenn darauf Spam kommt, wissen wir`s. ;-)
> Natürlich sind auch die anderen user hier im Forum aufgerufen, ihre Erfahrungen und Abwehrmassnahmen vorzustellen und darüber zu diskutieren.
Auf meine im Heiseforum verwendete Adresse kam neulich ein Zustellversuch eines offenbar US-amerikanischen Spammers. Von der "Ernte" meiner Internetpräsenz wurde irgendwann mal "webmaster [at] expires-200210" versucht zu beliefern, sonst werden mit Abstand am liebsten die im Usenet als "From" verwendeten Identitäten bespammt. Auf meine hier verwendete E-Mail-Adresse kam bislang noch kein Spam.
Als Abwehrmaßnahme auf meinem Site dient Sugarplum, gefüttert mit Adressen bekannter Spammer und Spam-Unterstützer sowie ein paar reingestreuten Spam-Traps.
/.
DocSnyder.

Eniac
28.10.2002, 13:19
Hi,
also ich habe mal die Logfiles der letzten Monate durchforstet. Da ich meinen Webspace bei Puretec habe, komme ich leider nur auf diese graphisch aufbereitete Auswertung und nicht auf die original Logfiles des Webservers.
Immerhin ist mir folgendes aufgefallen:
1. Es gab mindestens 11 Scans auf formmail.pl
Für alle die es nicht wissen: formmail.pl ist ein Perl-Script das HTML-Formulare verschickt; in frühen Versionen war dieses Script ungesichert und jeder konnte ohne Authentizierung seinen Müll darüber versenden. In neueren Versionen ist diese Sicherheitslücke behoben, Spammer suchen in ganzen Netz aber immer noch nach den alten Versionen. Ich habe mal eine dummy-Datei `/cgi-bin/formmail.pl` auf meine Seite gestellt, um die Zugriffsversuche darauf zu registrieren. Im Netz sind schon mal Scripte veröffentlicht worden, die diese Versuche loggen, ich kann sie bei Bedarf hier posten.
2. Mindestens viermal wurde die Datei post.html aufgerufen
Diese Datei enthält neben weit über 600 Adressen von Abuse-Desks und koreanischen Schulhausmeistern auch einige Dutzend Adressen bekannter Spammer und ist ganz vorne in meiner Site unsichtbar verlinkt. Für eine Lösung wie sugarplum oder eine Teergrube fehlen mir leider die Rechte auf meiner Domain und so behelfe ich mich eben. Die Datei wächst mit jedem Tag und sollten die dümmsten unter den Spammern wirklich so blöd sein, an postmaster oder abuse zu spammen, gibt es mittlerweile eine nicht geringe Wahrscheinlichkeit dabei ihren eigenen Provider zu erwischen. Ansonsten saugen sie sich für sie nutzlose Adressen und spammen sie sich gegenseitig zu.
Das ganze wird noch ergänzt durch eine Datei mit 10.000 völligen Schrottadressen der Form 8k06xo3b [at] hpjvtqko.ctp die den bot für einige Zeit beschäftigen dürfte und mit denen er seine DB zumüllt.
Ich erzeuge sie mit einer Java-Klasse, bei Interesse werde ich den Quellcode hier veröffentlichen.
3. Es erfolgten etliche Zugriffe über die user-agents "Indy Library" und "Mozilla 4.0; MSIE 5.5", AFAIR sind das auch user-agents, mit denen sich spambots beim Webserver identifizieren. Daneben tauchten noch user-agents auf, mit denen ich gar nix anfangen kann:
WebAuto/3.41x83xc03 (WinNT; I)
Firefly/1.0
WebCopier v2.7a
Pompos/1.0 pompos [at] iliad.fr
T-H-U-N-D-E-R-S-T-O-N-E
EchO!/2.0
TECOMAC Crawler/0.1
pavuk/0.9pl28 i586-pc-cygwin (Cygwin ist eine Unix-Shell für Windoofs-Systeme)
Kann jemnand was damit anfangen?

Grüsse
Eniac



--
Also ans Bein pinkeln ist ganz einfach: Ein paar Bierchen vorab, damit der Druck stimmt, dann Reißverschluss auf, zielen und der Natur ihren Lauf lassen. Kleiner Tipp: Suche mal nach FAQ in der NG, dann bekommst Du einige Treffer (Daniel W. in d.a.n-a.m.)

daWizard
28.10.2002, 15:59
sag mal, kannst du die post.html nicht mal bei netmails spiegeln? Dann könnte man sich die gelegentlich saugen und du müsstest deine domain hier nicht preisgeben...

daWizard
(frags: http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif_http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif_http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif_http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif_http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif_http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif_http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif)
http://img.homepagemodules.de/death.gif <- für eluckycasino.net!
Linux, cause I reboot less often than windows users reinstall... - anon

gta74
28.10.2002, 16:08
Das ganze wird noch ergänzt durch eine Datei mit 10.000 völligen Schrottadressen der Form 8k06xo3b [at] hpjvtqko.ctp die den bot für einige Zeit beschäftigen dürfte und mit denen er seine DB zumüllt.
Ich erzeuge sie mit einer Java-Klasse, bei Interesse werde ich den Quellcode hier veröffentlichen.
Ich habe dazu mal ein JS gefunden: http://www.pschuetz.com/psc/phpecke/fake_email_generator.php.
Vielleicht kann man damit was anfangen?
MfG
gta74

http://img.homepagemodules.de/devil.gif Kampf dem SPAM! http://img.homepagemodules.de/devil.gif
(fragz:http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif)

DocSnyder
29.10.2002, 01:14
> [generierte Schrottadressen]
Bei den dümmsten Spammern bringt dies vielleicht etwas, aber bei den "Profis" (welche dann doch den größten Teil der Spams in die Welt setzen) bin ich mir ziemlich sicher, dass sie ihre Adressen zumindest versuchen zu resolven und solche ohne gültige Domains gleich rauswerfen.
Diesen Verdacht habe ich, da ich meine "expires-200208"-Subdomain Anfang September für etwas mehr als eine Woche korrekt deaktiviert (damit existiert auch kein MX-Record dieser Subdomain mehr) aber anschließend testweise wieder scharfgeschaltet habe. Das Spamaufkommen an diese Subdomain ist sogar jetzt noch geringer als Ende August. Die September-Subdomain lief bis jetzt ohne Abschaltung durch, mit leicht steigendem Spam-Eingang.
D. h. am besten Domains bekannter Spammer und Spam-Unterstützer (z. B. "netmails.com", "titan-networks.de", "interfun.de", "ibs-clearing.ch") mit jeweils einer Handvoll Standard-Localparts (info, webmaster, sales, contact, jobs etc.) ausstatten und ab damit.
/.
DocSnyder.

Eniac
29.10.2002, 09:13
Hi,
das eigentliche Ziel ist es auch nicht, dass diese generierten Schrottadressen tatsächlich bespammt werden, vielmehr sollen dem Spammer Zeit und Ressourcen durch das Saugen und Überüprüfen tausender Mülladresen gestohlen werden.
Wie funktioniert so ein Spider eigentlich: Validiert er die Adressen schon beim Saugen "on the fly" oder holt er sich erstmal alles und prüft dann?

Grüsse
Eniac


--
Also ans Bein pinkeln ist ganz einfach: Ein paar Bierchen vorab, damit der Druck stimmt, dann Reißverschluss auf, zielen und der Natur ihren Lauf lassen. Kleiner Tipp: Suche mal nach FAQ in der NG, dann bekommst Du einige Treffer (Daniel W. in d.a.n-a.m.)

DocSnyder
29.10.2002, 12:22
> das eigentliche Ziel ist es auch nicht, dass diese generierten Schrottadressen tatsächlich bespammt werden
Aber die Adressen bekannter Spammer...
> vielmehr sollen dem Spammer Zeit und Ressourcen durch das Saugen und Überüprüfen tausender Mülladresen gestohlen werden.
Domains zu resolven dauert gerade mal gar nichts, sogar Millionen E-Mail-Adressen sind innerhalb eines Tages vollautomatisch durchgeprüft. Ungültige Localparts kann man jedoch nur mit einem Einlieferungsversuch feststellen.
> Wie funktioniert so ein Spider eigentlich: Validiert er die Adressen schon beim Saugen "on the fly" oder holt er sich erstmal alles und prüft dann?
DNS-Anfragen zu prüfen habe ich bisher nicht getan, da die Datenmenge wohl zu groß und diffus wäre. Der Spammer bräuchte ja nur den Nameserver seines ISPs oder eines x-beliebigen DNS-Betreibers verwenden, dann würde ich diesen zugreifen sehen.
Kann auch sein, dass der Spammer bzw. dessen Bulkmailing-Software mittels einem Zustellversuch versucht festzustellen, ob eine Domain gültig ist, und falls nicht diese aus seiner Liste nimmt.
/.
DocSnyder.