Ergebnis 1 bis 5 von 5

Thema: formmail.pl - Missbrauchsangriff auf meiner Domain

  1. #1
    Hoffman
    Gast

    Standard formmail.pl - Missbrauchsangriff auf meiner Domain

    Hallo Leute,
    Ich hatte heute zwischen 16.23 und 16.25 offensichtlich fünf Angriffe von Spammern auf meine Webseite. Alle fünf haben einige Dinge gemeinsam: Alle fünf wollten das script /cgi-bin/formmail.pl aufrufen, das allerdings nicht existiert, was auch der Grund dafür ist, dass 404-Errors geworfen wurden, die ich per .htaccess Umleitung auf ein PHP-Script protokollieren lasse. Nur deshalb habe ich das ja auch gemerkt. Weiterhin hatten sie alle meine Domain als Referer, was ich etwas merkwürdig finde, weil ich einen derartigen Link nicht habe. Allerdings kann das auch an der ErrorDocument-Umleitung liegen, wobei ich aber bei normalen Fehlern den korrekten Referer bekomme. Außerdem ist gemeinsam, daß die Browserkennung ($HTTP_USER_AGENT) leer blieb.
    Wirklich merkwürdig ist (zumindest für mich), dass die fünf Zugriffsversuche von fünf ganz unterschiedlichen IP-Adressen kamen. Nachdem ich vor und nach diesen drei Minuten und auch sonst bisher noch nie dergleichen bemerken konnte, muss ich davon ausgehen, dass diese IP-Adressen von ein und demselben Spammer benutzt werden.
    Ich habe nach formmail.pl gegoogelt und herausgefunden, daß dieses Script bei Spammern sehr beliebt ist, weil es zum Versenden von Spam über eine fremde Domain missbraucht werden kann. Siehe dazu auch http://www.mailvalley.com/formmail/. Nach ein bisschen Suche mit checkdomain.com habe ich herausgefunden, daß mal wieder (teilweise) die Koreaner dahinterstecken.
    Wie auch immer, ich veröffentliche hiermit die IP-Adressen. Vielleicht könnt Ihr was damit anfangen.
    IP-Adresse: 203.232.208.12
    Server-Name: 203.232.208.12
    Besitzer: Korea Network Information Center
    IP-Adresse: 38.161.171.10
    Server-Name: 38.161.171.10
    Besitzer: Performance Systems International Inc.
    IP-Adresse: 168.95.19.4
    Server-Name: kh-cs4.hinet.net
    Besitzer: Chunghwa Telecom Co., Ltd.
    IP-Adresse: 67.80.235.199
    Server-Name: ool-4350ebc7.dyn.optonline.net
    Besitzer: Optimum Online (Cablevision Systems)
    IP-Adresse: 148.246.52.7
    Server-Name: ce590-gdl02.terra.net.mx
    Besitzer: TerraLycos Mexico
    Grüße!



  2. #2
    andyho
    Gast

    Standard RE:formmail.pl - Missbrauchsangriff auf meiner Domain

    Ohne es zu überprüfe wette ich einfach mal daß es sich bei allen 5 IP-Adressen um offene Proxies handelt, damit der Spammer nicht seine wahre IP-Adresse im Weblog wiederfindet. Aber eigentlich hätte doch auch ein Check auf formmail.pl gereicht um zu erkennen daß da nix ist was auszunutzen wäre. Aber dann greift sicher die Spammerregel 1 - Spammer sind blöd.



  3. #3
    retired Avatar von cycomate
    Registriert seit
    31.03.2002
    Ort
    127.0.0.1
    Beiträge
    2.331

    Standard RE:formmail.pl - Missbrauchsangriff auf meiner Domain

    Weiterhin hatten sie alle meine Domain als Referer, was ich etwas merkwürdig finde, weil ich einen derartigen Link nicht habe. [...] Außerdem ist gemeinsam, daß die Browserkennung ($HTTP_USER_AGENT) leer blieb.
    Diese sind einfach zu modifizieren und sagen gerade bei solchen Zugriffen rein gar nichts aus.

    ___________________________

    Disclaimer:This post is for educational and entertainment purpose only
    [Link nur für registrierte Mitglieder sichtbar. ]


  4. #4
    DocSnyder
    Gast

    Standard RE:formmail.pl - Missbrauchsangriff auf meiner Domain

    > Alle fünf wollten das script /cgi-bin/formmail.pl aufrufen
    Formmail wird bei mir ständig gescannt. Seit einigen Tagen habe ich allerdings das Sugarplum-Skript darauf verlinkt, dem es egal ist, ob per POST noch Daten mitkommen oder nicht. Vielleicht ist der Spammer ja so dumm und labt sich infolge an den Adressen seiner Kollegen.
    /.
    DocSnyder.
    --
    Friss, Spammer, friss: http://docsnyder.de/spl/forum/


  5. #5
    Hoffman
    Gast

    Standard RE:formmail.pl - Missbrauchsangriff auf meiner Domain

    Hmmm, dachte ich mir schon, dass der Referer zu fälschen ist, die Browserkennung sowieso. Zum Thema Sugarplum: Ich habe mir auch so ein Script gebastelt, allerdings mit PHP. Man kann an beliebiger Stelle im Dokument eine Liste von beliebig vielen Zufalls-Email-Adressen erzeugen, bei mir 20 Stück am Dokument-Ende. Das Script funktioniert so, dass die Servernamen echt sind, die Adressen vor dem (at) aber zufallsgeneriert. Als Servernamen verwende ich vorwiegend Server von ausgewiesenen Spammern, man kann aber auch andere unliebsame Zeitgenossen bedenken.
    Damit diese Adressen für den Normal-User nicht zu sehen sind, kann man verschiedene Techniken anwenden, z.B. einfach ein HTML-Kommentar drumrum. Ich fürchte jedoch, dass dies zu einfach ist, und intelligentere Harvester-Bots das als einfaches Filterkriterium benutzen könnten. Ich habe es deshalb in ein <div>-Layer gepackt, dieses unsichtbar (visibility:hidden;) gemacht und an den Anfang der Seite gestellt (position:absolute;top:0px;), damit nicht zuviel Leerraum am Ende entsteht. Man könnte aber wohl auch als Schriftfarbe die Farbe des Hintergrunds wählen. Der Name der CSS-Klasse für den Layer wird ebenfalls jedesmal nur zufallsgeneriert, damit das auch kein Anhaltspunkt für Bots ist. Damit dürften die wohl kaum noch herausfinden können, ob das echt oder fake ist.
    Ich wollte das demnächst auf meiner Seite mal zum Download anbieten. Dauert aber noch ein bisschen. Wer es vorher haben will, kann sich ja melden.
    Grüße




Ähnliche Themen

  1. Verwendung meiner Mailadresse
    Von Dany im Forum 1.1 deutschsprachig
    Antworten: 5
    Letzter Beitrag: 19.07.2006, 16:03
  2. Domain Registry of America - Domain Name Expiration Notice
    Von mindphlux im Forum 2.4 Postwurfsendungen & Flyer
    Antworten: 0
    Letzter Beitrag: 01.02.2004, 13:13
  3. spam mit meiner domain
    Von Buzzbomb im Forum 4.1 Vorbeuge gegen Spam
    Antworten: 6
    Letzter Beitrag: 11.09.2003, 20:13
  4. Missbrauch meiner Domain für Spam
    Von RJ im Forum 1.1 deutschsprachig
    Antworten: 2
    Letzter Beitrag: 28.08.2003, 20:39
  5. [UBE] Ich mache es mir mit meiner eigenen Cam...
    Von hami im Forum 1.1 deutschsprachig
    Antworten: 4
    Letzter Beitrag: 25.12.2002, 13:01

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen