Gerade habe ich gesehen, dass ich für mySniper.com fünf Registrierungen habe, die keinen Sinn machen. Anstatt einer E-Mail-Adresse wurde der Body einer E-Mail eingegeben. Das sah ungefähr so aus
lpubhkhzos@mysniper.com Content-Type: multipart/mixed; boundary="===============2001562473==" MIME-Version: 1.0 Subject: a5fc13ee To: lpubhkhzos@mysniper.com bcc: jrubin3546@aol.com From: lpubhkhzos@mysniper.com This is a multi-part message in MIME format. --===============2001562473== Content-Type: text/plain; charset="us-ascii" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit vwsxkgi --===============2001562473==-- (503)
Vermutlich hat ein Früchtchen versucht meinem MTA eine gefälschte E-Mail unterzujubeln um zu checken ob das Anmeldeprozedere von mySniper.com taugt um Massenmails zu versenden. Da ich aber nicht direkt Sendmail verwende, und sowieso alle Eingaben mit einem Umbruch verweigere, war das ganze von weniger Erfolg gekrönt. Sorry.
Dass ich nicht der einzige bin, bei dem das Früchtchen das versucht hat, zeigt die Suche bei Google nach der AOL-Adresse.
Btw. wer verwendet heute noch AOL?
Nachtrag: Das Früchtchen verwendet wohl auch folgende E-Mail-Adressen. bergkoch8@aol.com, jrubin3546@aol.com, Homeiragtime@aol.com, mhkoch321@aol.com, damnitmayn@aol.com, cameronmtc@aol.com, wolfione@aol.com, wnacyiplay@aol.com, wwjdkid14@aol.com, angelrrsmr@aol.com, kolyathekid1@aol.com, kshmng@aol.com, lshmng@aol.com, jshmng@aol.com, mhkoch321@aol.com
24 Kommentare
Die spammen auch mein Kontaktformular voll. Komische Sache
Würde mich mal interessieren, bei wievielen Scripten der Bub erfolg hat.
ebenso, und er gibt’s nicht auf, die versuche kommen regelmäßig, fast täglich 15 mails in einem schwung. wie kann man so einen dödel rausfiltern?
Was für eine Blogsoftware verwendest du? Um ihn zu filtern gibt es je nachdem so einige Methoden.
Die erste wäre ein INPUT HIDDEN einzubauen, dass Vorraussetzung ist um einen Kommentar abzugeben. Das stört zunächst nicht die Leute die deinen Blog ber einen Browser ansteuern und nicht über einen Bot.
Wenn er das geknackt hat, kannst du ja in regelmäßigen Abständen den Inhalt dieses INPUT HIDDEN wechseln. Was aber nicht funktioniert, wenn er deinen Blog und somit den Wert des Feldes ausliest.
In letzter Instanz hilft nur ein Captcha, wie du es hier bereits findest.
Ein verstecktes Eingabefeld — sei es tatsächlichen “hidden” oder nur mittels CSS ausgeblendet und mit einem Hinweis für CSS-lose Nutzer ausgestattet — kann aber auch andersherum sinnvoll sein. Wenn es nämlich seinen Inhalt wechselt, war offenbar ein Bot am Werk, der wie im aktuellen Fall einfach alle Felder ausfüllt.
Das Früchtchen hat am 6.Sept. 2005 um 2:08 Uhr es auch auf einer von mir betreuten Webseite mit der AOL-Adresse: Homeiragtime@aol.com.
Mein Logbuch zeichnete als IP des Spammer auf: 216.151.106.11
hallo, ich wurde auch schon 3mal von diesem script/person/wasauchimmer belästigt…
musste heute mein gästebuch aus meiner seite herausnehmen. ich habe auch die ip-nummern gesichert. (213.114.195.69)
ein captcha welches ich vor einigen tagen eingebaut habe wurde auch umgangen, bzw. mittels OCR gecrackt.
kennt jemand ein script (php) mit dem man email-adressen auf ihr vorhandensein überprüfen kann?
Ich hatte ebenfalls Besuch vom Formular-Spammer. Um ihn auszufiltern habe ich ein kleines Skript geschrieben, das nach Werten wie From:, To:, Content-Type usw. sucht. Der Versand von Mails, welche diese Werte enthalten, wird unterbunden und geloggt mit allen eingegebenen Werten.
Natürlich kommt es darauf an, mit was für Eingaben man zu rechnen hat, From und To sind je nach dem etwas heikel. Aber es gibt genügend eindeutige Begriffe, die in einem Formulareintrag nicht vorkommen sollten…
Nach bestimmten E-Mailadressen würde ich nicht suchen, da fehlen dann doch immer welche. Bei mir waren die aol-Adressen zwar auch besonders häufig vertreten, aber es gab auch andere, die mit der selben Masche arbeiteten.
Da mein Trackback offenbar nicht funktioniert hat, hier ein Hinweis auf einen Eintrag in meinem Weblog. Ich habe das Problem analysiert, und auch aufgeschrieben wie man es löst.
Blog-Eintrag
Advisory auf Full-Disclosure
Schön dass du dich dem Problem angenommen hast, kju. 79.000 Treffer auf Google zu dem Problem übertreffen absolut meine ersten Befürchtungen zu dem Problem.
Hallo Zusammen
Wir sind leider auch Opfer von diesem Spinner. Mehrmals am Tag erhalten wir über einen Kunden Formmailer solche Mails. Langsam sind wir auch am Ende und wissen nicht mehr was wir da machen können.
Gruess Chris und allen noch eine schöne woche
Habe einen guten deutschen Artikel zu diesem Thema gefunden:
http://www.computer-security.de/content/view/77/32/
Hi,
ich hatte heute auch Besuch von mhkoch321@aol.com… Gluecklicherweise hatte er keinen Erfolg mit seinem BCC mit Zeilenumbruch… Ich werde aber trotzdem alle Formulare auf die Captcha-Methode umstellen…
Gruss
Underhill
Aha. Ich dachte schon, es ist jemand der mich kennt und ärgern will. Zum Glück habe ich im Google nach bergkoch8@aol.com gesucht. Seit Ende August kommen täglich ca. 10-30 Emails von allen möglichen Webseiten, die ich betreue. Was der Spinner bisher nicht gemerkt hat: Ich schreib die Formulardaten nur noch auf Platte und verschick sie nicht mehr mit Sendmail…. tja, son Pech aber auch !
Wenn ich das recht verstehe, ist das ganze aber nur kritisch, wenn Werte wie Absender- und Empfänger-Emailadresse direkt im Formular stehen und mit den anderen Formulardaten an das Auswertescript gesendet werden, oder ? Bei mir stehen Absender und Empfänger fest programmiert im Script - oder funktioniert der Exploit über ein eingefügtes BCC ? Der Spammer würde doch dann nur seine eigene Eingabe als Mail erhalten, oder ? Es sei denn, er fügt ein CC ein - aber wenn das im Script auch fest eingestellt ist ?
Hi,
wir hatten auch Besuch von dem Knaben. In unserem Formular sind immer zwei zusätzliche hidden-Felder: Ein Datumsfeld (wann der Server das Form geliefert hat) und ein Check-Feld, was per md5 aus dem Subject, der to, bcc, cc-Adresse und dem Datumsfeld und einer weiteren geheimen Zutat (Kennwort) berechnet wird. Ist das Datumsfeld zu alt, nehmen wir den Eintrag nicht an, keiner wird 1 Stunde das Formular offen haben. Stimmt das Check-Feld nach unserer Berechnungsmethode nicht mit den zurückgelieferten Hidden-Feldern überein, gibts einen Alarm. Und den haben wir schon 48 mal gehabt. Unser Kunde bekommt davon erst gar nichts mit, höchstens mal einen Bericht, dass wir für Ihn mal wieder x Hackerangriffe abgewehrt haben.
Hatten vor kurzem auch was von wwjdkid14@aol.com. Weiss zwar nicht so genau, was das war, aber vielleicht kann ich das Mal beschreiben: Mein mann muss wohl versucht haben zurück zu schreiben, aber diese E-Mail hat ihr ziel nicht erreicht, sie ist zu uns zurück gekommen vom Aol- Postmaster. wenn ich mit dem Mauspfeil darauf zeige, dann kommt “Mailer-Daemon@aol.com”. Was bedeutet das? Müsst mich entschuldigen. Ich hab da nicht so viel Ahnung. Wahrscheinlich hat mein Mann gedacht, das wär ne Frau und wollte zurück schreiben. So was macht er öfter. Wie schon gesagt ich kenne den Inhalt der Mail von wwjdkid14@aol.com nicht, weil mein Mann sie schon gelöscht hat. Was sind das denn bei euch immer so für Inhalte?
Grüße an alle, von Separa.
Keine Sorge separa. Das war nicht die heimliche Internetbekannschaft deines Mannes, auch wenn aol.com darauf schließen lässt. Eher ein pickeliges Bürschchen aus Oklahoma, das in seinen Sommerferien nichts Besseres zu tun hatte.
Es handelt sich hierbei, wie du an den Kommentaren schon erkennen konntest, um ein Problem technischer Natur. Das dein Mann da eine Mail bekommen hat war Zufall – Absolut reiner Zufall.
Hofft man zumindest
Mir ging es mit meinem PHP-Formular ebenso. Unmengen Spam jeden Tag und die Zahl der Besucher auf meiner Seite (IPs) wuchs fast ins Unermessliche. Alle Formularfelder waren wie oben angegeben mit fiktiven Emailadressen ausgefüllt bzw. mit blabla56789@meine-domain.de Ich habe nun unten stehendes ins Javascript eingebaut und seitedem ist, toitoi, erst mal Ruhe.
Mein Formularfeld für Tel.Nr. ist kein Pflichfeld, aber es muss nun eine Zahl darin eingetragen werden ohne jegliche Zusatzzeichen oder Buchstaben. Schauen wir mal, wie es weitergeht.
if(isNaN(tel))
{
alert(”Bitte geben Sie eine gültige Telefonnummer ein!”);
document.forms[0].tel.focus();return false;
}
Ich rate davon ab, Scripte zum Mailversand zu benutzen, die Standard oder Freeware sind. Man sollte die CGIs soweit customizen, daß zumindest der Email-Empfänger fest im Skript steht. BCC und CC sollte man am besten ganz abschalten. Die Variablen - Verknüpfung zwischen frei eingebbarer Email-Adresse und automatischem Versand von Emails an diese Adresse sollte man abstellen. Lieber 1-2 x im Monat 30 Hackversuch-Emails von unserem Freund als öffentlicher Spam mit unserem Namen darunter… der Imageschaden ist größer.
Momentan führend bei uns sind Versuche von den Email Adressen topcopl2@aol.com und dinotto2@aol.com. Die Herrschaften versuchen erst eine Multipart-Email-Injection Wiki und werden wenn das Mail bei ihnen ankommt das unsichere Form zu ihren Spam-Zwecken missbrauchen.
Ein Versand läßt sich im Script z.B. so abfangen:
if (eregi(’Content-Type:’, $HTTP_POST_VARS[’Email’])) {
$email_ungueltig = true;
}
dfs