/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvad kan man gøre spammere o.lign. ?
Fra : Povl H. Pedersen


Dato : 15-02-03 20:05

Archer Communications er åbenbart i gang med at scanne efter åbne
mail relays de kan bruge til at sende spam. Jeg har fået en
række requests som disse:

64.214.130.33 - - [14/Feb/2003:14:42:30 +0100]
"CONNECT mailb.microsoft.com:25 HTTP/1.0" 405 309 "-" "-"

Firmaet er kendt for at sende spam, og er selvfølgelig med i de
blacklists jeg bruger til SMTP.

Jeg går ikke ud fra, at man kan få deres ISP (Global Crossing)
til at gøre ret meget. De vil selvfølgelig få en abuse mail,
men hvad ellers ?

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

 
 
Kasper Dupont (15-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 15-02-03 23:52

"Povl H. Pedersen" wrote:
>
> Archer Communications er åbenbart i gang med at scanne efter åbne
> mail relays de kan bruge til at sende spam. Jeg har fået en
> række requests som disse:
>
> 64.214.130.33 - - [14/Feb/2003:14:42:30 +0100]
> "CONNECT mailb.microsoft.com:25 HTTP/1.0" 405 309 "-" "-"
>
> Firmaet er kendt for at sende spam, og er selvfølgelig med i de
> blacklists jeg bruger til SMTP.
>
> Jeg går ikke ud fra, at man kan få deres ISP (Global Crossing)
> til at gøre ret meget. De vil selvfølgelig få en abuse mail,
> men hvad ellers ?

Jeg kører honeypots på port 1080, 3128, 6588, 8000 og 8080 der
lader som om jeg har en åben proxy, der kan bruges til at kontakte
vilkårlige åbne SMTP relays. Så snart den har modtaget HTTP
requesten svarer den som en SMTP server, bortset fra en lille
forskel, min honeypot siger 250 OK til stort set alle kommandoer.
(Kun DATA og QUIT behandles lidt anderledes.)

Med en honeypot på port 25 er det tidligere lykkedes for mig at
opsamle 50 millioner spammails, der dermed ikke nåede frem til
modtagerne.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Martin Kofoed (16-02-2003)
Kommentar
Fra : Martin Kofoed


Dato : 16-02-03 09:34

Kasper Dupont wrote:

> Jeg kører honeypots på port 1080, 3128, 6588, 8000 og 8080 der
> lader som om jeg har en åben proxy, der kan bruges til at kontakte
> vilkårlige åbne SMTP relays.

Hvilken software bruger du til det?

> Med en honeypot på port 25 er det tidligere lykkedes for mig at
> opsamle 50 millioner spammails, der dermed ikke nåede frem til
> modtagerne.

Impressive ... Men spammerne finder vel aldrig ud af, at de er blevet
snydt? Kan en honeypot på port 25 sameksistere med en kørende MTA - såsom
Postfix? Normalt rejecter Postfix jo bare alle relay mails.


--

Martin

Kasper Dupont (16-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 16-02-03 12:37

Martin Kofoed wrote:
>
> Kasper Dupont wrote:
>
> > Jeg kører honeypots på port 1080, 3128, 6588, 8000 og 8080 der
> > lader som om jeg har en åben proxy, der kan bruges til at kontakte
> > vilkårlige åbne SMTP relays.
>
> Hvilken software bruger du til det?

Jeg bruger et lille C program jeg selv har skrevet.
Sourcen ligger her.
http://www.daimi.au.dk/~kasperd/smtphoneypot.c

Det er en ældre udgave, der kun virker på port 25.
Jeg har en nyere udgave, der også virker på de andre
porte, jeg vil lige prøve at finde den nyere source,
men den er nu ikke helt færdig, der er nogle småfejl
i den.

>
> > Med en honeypot på port 25 er det tidligere lykkedes for mig at
> > opsamle 50 millioner spammails, der dermed ikke nåede frem til
> > modtagerne.
>
> Impressive ... Men spammerne finder vel aldrig ud af, at de er blevet
> snydt?

Det håber jeg ikke. Hvis de finder ud af, at de er
blevet snydt finder de jo bare en anden måde at
sende deres spam på.

> Kan en honeypot på port 25 sameksistere med en kørende MTA - såsom
> Postfix? Normalt rejecter Postfix jo bare alle relay mails.

Godt spørgsmål. Den kan ikke i sin nuværende form.
Men jeg vil være intereseret i idéer til at få den
til at sameksistere med en rigtig MTA. Og helst på
en sådan måde, at begge kan logge den rigtige
klient IP addresse.

Jeg vil også være interesseret i at få proxy udgaven
til at sameksistere med apache på port 80.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Kasper Dupont (16-02-2003)
Kommentar
Fra : Kasper Dupont


Dato : 16-02-03 13:23

Kasper Dupont wrote:
>
> Jeg har en nyere udgave, der også virker på de andre
> porte, jeg vil lige prøve at finde den nyere source,
> men den er nu ikke helt færdig, der er nogle småfejl
> i den.

Her er den anden udgave:
http://www.daimi.au.dk/~kasperd/proxyhoneypot.c

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste