| 1.1, Maxim Chirkov (?), 15:50, 10/06/2003 [ответить]
| +/– |
 Вчера писал, что распространению спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки (formmail). Сегодня провел небольшой эксперимент и убедился, что сегодня эти факторы - капля в море. Подавляющее большинство спама идет через зараженных троянскими программами пользователей. Так что рассылка через открытые релеи и открытые прокси, уже прошлый день.
Статистически, путем использовния nmap, выяснил, что большинство хостов, через которые рассылается спам имеют открытые порты 2001 (Der Spaeher 3; TransScout; Trojan Cow), 5000 (Bubbel; Back Door Setup), 1025 (NetSpy).
Список портов используемых троянскими программами:
http://www.security-gui.de/portlist.php
| | |
| |
| 2.6, Nickolay (?), 12:15, 11/06/2003 [^] [^^] [^^^] [ответить]
| +/– |
не согласен, что CGI-скрипты - капля в море.
через нас спамили дня два-три именно через formmail.
закрыл как только пришла жалоба от спамкопа :-(
нашел как спамят - закрыл дыру. прошло немного времени они нашли еще одну дырку в этом скрипте. убрал его нафиг. поставил аналогичный, но вроде как более грамотный скрипт... | | |
| |
| 3.7, Maxim Chirkov (?), 13:11, 11/06/2003 [^] [^^] [^^^] [ответить]
| +/– |
>не согласен, что CGI-скрипты - капля в море.
С CGI, открытыми релеями проксями уже есть достаточное эффективные методы борьбы.
Ко мне в ящик, ежедневно, при повальном присутсвии email'а в сети приходит через фильтры всего несколько англоязычных спам-писем. Проблема возникла с русским спамом, поняв, что новые лазейки в cgi, открытые релеи и прокси появляются не так часто и блокируются слишком быстро, они перешли на рассылку троянов пользователям и посылают спам через них.
Проблема расслыки через троянских программ в том, что пропадает смысл блокировки в DNSBL системах (сейчас помещаю туда целые DSL сетки, это не так эффективно и слишком жестоко), на момент когда IP рассылающего попадает в список блокировки, троян уже либо блокируют администраторы, либо спамер просто забывает про него. Определять и блокировать такие рассылки нужно в горячую, в момент первой волны, так как второй волны уже не будет, она будет через другой компьютер.
Сейчас как раз пишу такую систему, она достаточно жестко блокирует подозрительный хост, в течении первых 5 минут, после прихода спам письма.
Потестирую на серии бесплатных web-mail систем, потом попробую в продакшин.
| | |
| |
| 4.8, Nickolay (?), 13:28, 11/06/2003 [^] [^^] [^^^] [ответить]
| +/– |
согласен и одобрям :-)
скажите пожалуйста, на каких бесплатных webmail'ах тестирование будет производиться? (imp???) | | |
|
|
|
| 1.2, Maxim Chirkov (?), 16:36, 10/06/2003 [ответить]
| +/– |
Все эксперменты начались с идеи блокирования спам хостов на основании анализа "первой волны" спама.
Имея 9000 активных пользователей, из которых, предположим, 300 есть в списке рассылки текущего спамера, можно, теоретически, пропустив и проанализировав 10-50 сообщений текущей рассылки спама, заблокировать источник, защитив остальные 250. Написл тест для обратной проверки на открытые релеи и прокси, за пол часа - поймал два открытый прокси и без того имевшиеся в DSBL. Буду экспериментировать с проверкой на порты используемые троянскими программами.
Провалившись с идеей обратной проверки на открытые прокси и релеи по IP, хотел использовать метод обратной проверки реальности пользователя, т.е.:
- Cмотрим какой адрес передают в "MAIL FROM:";
- Вычисляем по "host -t mx" MX обслуживающий домен адресата;
- Делаем запрос к низшему MX, проверяем примет ли сервер почту для "RCPT TO:" проверяемый_емайл"
- Если сервер вернул ошибку - помещаем в списки блокировки IP отправителя и проверяемый емайл.
При ближайшей проверке выяснил, что большинство серверов на этапе "RCPT TO:" не проверяют наличия пользователя, а генерируют письмо с ошибкой позже :-( Т.е. метод тоже нежизнеспособен.
Метод блокирования при отсутствии открытого 25 порта для IP отправителя, нежизнеспособен, так как в сети множество хостов отправляющих валидные сообщений, но не принимающих соединений из вне.
Остается класическая блокировка по DNSBL спискам с его ~ 30�ПД :-(
| | |
| 1.3, Maxim Chirkov (?), 16:59, 10/06/2003 [ответить]
| +/– | |
Кстати, нижесприведенная проверка, дает замечательные результаты.
check_spamer.sh:
#!/bin/sh
IP=$1
TEST="'nmap -P0 -p 1025,5000,2001 $IP|grep open'"
if [ "$TEST" = "" ]; then
echo Ok.
else
echo Spamer.
fi
| | |
| 1.4, dawnshade (?), 17:17, 10/06/2003 [ответить]
| +/– |
 Кстати, tcp 1025 вполне нормальный порт, открываемый 2к и ХП - процесс svchost.exe
| | |
| 1.5, Maxim Bunin (?), 17:28, 10/06/2003 [ответить]
| +/– |
 Я сделал так, что formmail не принимает список адресов из формы, а считывает его из файла, созданного ползователем (вне DocumentRoot, public_html) | | |
|
