https://www.opennet.ru/openforum/vsluhforumID3/2127.html Как известно, рассылке спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки. Причем последний пункт практически сводится к одной программе (часто сам метод рассылки спама называется ее именем) - FormMail (автор Matt Wright, который, несмотря на огромный опыт, так и не научился писать качественный код). В статье наглядно описана технология атаки через FormMail, показано как определить, что через ваш хост рассылают спам и что сделать для исправления ситуации.<br><br>URL: http://www.net-security.org/article.php?id=503<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=2552<br><br> https://www.opennet.ru/openforum/vsluhforumID3/2127.html#8 Wed, 11 Jun 2003 09:28:27 GMT согласен и одобрям :-)<br>скажите пожалуйста, на каких бесплатных webmail'ах тестирование будет производиться? (imp???)<br> https://www.opennet.ru/openforum/vsluhforumID3/2127.html#7 Wed, 11 Jun 2003 09:11:11 GMT &gt;не согласен, что CGI-скрипты - капля в море.<br> <br>С CGI, открытыми релеями проксями уже есть достаточное эффективные методы борьбы. <br><br>Ко мне в ящик, ежедневно, при повальном присутсвии email'а в сети приходит через фильтры всего несколько англоязычных спам-писем. Проблема возникла с русским спамом, поняв, что новые лазейки в cgi, открытые релеи и прокси появляются не так часто и блокируются слишком быстро, они перешли на рассылку троянов пользователям и посылают спам через них.<br><br>Проблема расслыки через троянских программ в том, что пропадает смысл блокировки в DNSBL системах (сейчас помещаю туда целые DSL сетки, это не так эффективно и слишком жестоко), на момент когда IP рассылающего попадает в список блокировки, троян уже либо блокируют администраторы, либо спамер просто забывает про него. Определять и блокировать такие рассылки нужно в горячую, в момент первой волны, так как второй волны уже не будет, она будет через другой компьютер.<br><br>Сейчас как раз пишу такую систему, она достаточно жестко блокируе https://www.opennet.ru/openforum/vsluhforumID3/2127.html#6 Wed, 11 Jun 2003 08:15:13 GMT не согласен, что CGI-скрипты - капля в море.<br>через нас спамили дня два-три именно через formmail.<br>закрыл как только пришла жалоба от спамкопа :-(<br>нашел как спамят - закрыл дыру. прошло немного времени они нашли еще одну дырку в этом скрипте. убрал его нафиг. поставил аналогичный, но вроде как более грамотный скрипт...<br> https://www.opennet.ru/openforum/vsluhforumID3/2127.html#5 Tue, 10 Jun 2003 13:28:52 GMT Я сделал так, что formmail не принимает список адресов из формы, а считывает его из файла, созданного ползователем (вне DocumentRoot, public_html) <br> https://www.opennet.ru/openforum/vsluhforumID3/2127.html#4 Tue, 10 Jun 2003 13:17:52 GMT Кстати, tcp 1025 вполне нормальный порт, открываемый 2к и ХП - процесс svchost.exe<br><br> https://www.opennet.ru/openforum/vsluhforumID3/2127.html#3 Tue, 10 Jun 2003 12:59:46 GMT Кстати, нижесприведенная проверка, дает замечательные результаты.<br><br>check_spamer.sh:<br>#!/bin/sh<br>IP=$1<br>TEST="`nmap -P0 -p 1025,5000,2001 $IP&#124;grep open`"<br>if [ "$TEST" = "" ]; then<br> echo Ok.<br>else<br> echo Spamer.<br>fi<br><br> https://www.opennet.ru/openforum/vsluhforumID3/2127.html#2 Tue, 10 Jun 2003 12:36:44 GMT Все эксперменты начались с идеи блокирования спам хостов на основании анализа "первой волны" спама.<br>Имея 9000 активных пользователей, из которых, предположим, 300 есть в списке рассылки текущего спамера, можно, теоретически, пропустив и проанализировав 10-50 сообщений текущей рассылки спама, заблокировать источник, защитив остальные 250. Написл тест для обратной проверки на открытые релеи и прокси, за пол часа - поймал два открытый прокси и без того имевшиеся в DSBL. Буду экспериментировать с проверкой на порты используемые троянскими программами.<br><br>Провалившись с идеей обратной проверки на открытые прокси и релеи по IP, хотел использовать метод обратной проверки реальности пользователя, т.е.:<br>- Cмотрим какой адрес передают в "MAIL FROM:";<br>- Вычисляем по "host -t mx" MX обслуживающий домен адресата; <br>- Делаем запрос к низшему MX, проверяем примет ли сервер почту для "RCPT TO:" проверяемый_емайл"<br>- Если сервер вернул ошибку - помещаем в списки блокировки IP отправителя и проверяемый емайл.<br><br>При ближайш https://www.opennet.ru/openforum/vsluhforumID3/2127.html#1 Tue, 10 Jun 2003 11:50:02 GMT Вчера писал, что распространению спама сопутствуют три зла: открытые релеи, открытые прокси и CGI-скрипты содержащие ошибки (formmail). Сегодня провел небольшой эксперимент и убедился, что сегодня эти факторы - капля в море. Подавляющее большинство спама идет через зараженных троянскими программами пользователей. Так что рассылка через открытые релеи и открытые прокси, уже прошлый день. <br><br>Статистически, путем использовния nmap, выяснил, что большинство хостов, через которые рассылается спам имеют открытые порты 2001 (Der Spaeher 3; TransScout; Trojan Cow), 5000 (Bubbel; Back Door Setup), 1025 (NetSpy).<br><br>Список портов используемых троянскими программами:<br>http://www.security-gui.de/portlist.php<br><br>