Alex' blog (Artikel mit Tag spam)

Aufgelaufener Blog-Spam nach 8 Monaten

nospam@example.com (Alex) — Fri, 06 Jun 2008 17:52:00 +0200

Vor acht Monaten habe ich die Spamprotokollierung erneut gestartet.

Seitdem sind 39546 Kommentare/Trackbacks als Spam eingestuft worden. False-Positives habe ich in dieser Zeit keine ausmachen können. Allerdings habe ich natürlich auch nicht alle knapp 40000 Einträge manuell daraufhin überprüft.

Diese Anzahl kann man letztendlich auf 3887 verschiedene Absender herunterbrechen. Als eine eindeutige Anzahl verseuchter Computer kann man dies allerdings nicht ansehen. Es mögen durchaus auch weit weniger sein, was sich im Nachhinein allerdings nicht mehr feststellen lässt. Dass die Absender zum größten Teil auch nicht die ursprünglichen Absender des Spams sind, sondern durch einen Bot-Master mit entsprechenden Aufträgen versorgt werden o.ä., dürfte ebenfalls klar sein.

Letztendlich ergibt sich folgende (grobe) geografische Auswertung - 57 Absender konnten dabei nicht auf einen (groben) Standort bestimmt werden:

1 BARBADOS (nicht in der Grafik)
1 BERMUDA (nicht in der Grafik)
1 CYPRUS (nicht in der Grafik)
1 ESTONIA (nicht in der Grafik)
1 GRENADA (nicht in der Grafik)
1 JAMAICA (nicht in der Grafik)
1 KENYA (nicht in der Grafik)
1 KYRGYZSTAN (nicht in der Grafik)
1 LEBANON (nicht in der Grafik)
1 MALDIVES (nicht in der Grafik)
1 MAYOTTE (nicht in der Grafik)
1 MONGOLIA (nicht in der Grafik)
1 NEW CALEDONIA (nicht in der Grafik)
1 PARAGUAY (nicht in der Grafik)
1 PUERTO RICO (nicht in der Grafik)
1 SRI LANKA (nicht in der Grafik)
1 SYRIAN ARAB REPUBLIC (nicht in der Grafik)
1 THE FORMER YUGOSLAV REPUBLIC OF MACEDONIA (nicht in der Grafik)
1 UZBEKISTAN (nicht in der Grafik)
2 AZERBAIJAN (nicht in der Grafik)
2 CROATIA (nicht in der Grafik)
2 DOMINICAN REPUBLIC (nicht in der Grafik)
2 EL SALVADOR (nicht in der Grafik)
2 GEORGIA (nicht in der Grafik)
2 OMAN (nicht in der Grafik)
2 TURKMENISTAN (nicht in der Grafik)
2 YEMEN (nicht in der Grafik)
3 FINLAND (nicht in der Grafik)
3 GUATEMALA (nicht in der Grafik)
3 NICARAGUA (nicht in der Grafik)
3 QATAR (nicht in der Grafik)
4 BAHRAIN (nicht in der Grafik)
4 COSTA RICA (nicht in der Grafik)
4 ECUADOR (nicht in der Grafik)
4 ISLAMIC REPUBLIC OF IRAN (nicht in der Grafik)
4 KUWAIT (nicht in der Grafik)
4 NEW ZEALAND (nicht in der Grafik)
4 PORTUGAL (nicht in der Grafik)
4 SINGAPORE (nicht in der Grafik)
4 SLOVAKIA (nicht in der Grafik)
5 BOSNIA AND HERZEGOVINA (nicht in der Grafik)
5 HONG KONG (nicht in der Grafik)
5 KAZAKHSTAN (nicht in der Grafik)
5 SAUDI ARABIA (nicht in der Grafik)
6 SWEDEN (nicht in der Grafik)
7 DENMARK (nicht in der Grafik)
7 IRELAND (nicht in der Grafik)
7 REPUBLIC OF MOLDOVA (nicht in der Grafik)
7 URUGUAY (nicht in der Grafik)
8 JORDAN (nicht in der Grafik)
8 PAKISTAN (nicht in der Grafik)
8 PANAMA (nicht in der Grafik)
9 BELARUS (nicht in der Grafik)
10 LATVIA (nicht in der Grafik)
11 SERBIA AND MONTENEGRO (nicht in der Grafik)
12 SLOVENIA (nicht in der Grafik)
13 CZECH REPUBLIC (nicht in der Grafik)
13 GREECE (nicht in der Grafik)
14 AUSTRIA (nicht in der Grafik)
14 INDONESIA (nicht in der Grafik)
14 NORWAY (nicht in der Grafik)
14 SWITZERLAND (nicht in der Grafik)
14 VIET NAM (nicht in der Grafik)
15 CHILE (nicht in der Grafik)
15 PERU (nicht in der Grafik)
15 UNITED ARAB EMIRATES (nicht in der Grafik)
16 BELGIUM (nicht in der Grafik)
16 REPUBLIC OF KOREA (nicht in der Grafik)
16 THAILAND (nicht in der Grafik)
18 LITHUANIA (nicht in der Grafik)
18 TAIWAN (nicht in der Grafik)
19 VENEZUELA (nicht in der Grafik)
20 ISRAEL (nicht in der Grafik)
21 COLOMBIA (nicht in der Grafik)
27 MEXICO (nicht in der Grafik)
34 AUSTRALIA (1,03%)
35 BULGARIA (1,06%)
36 PHILIPPINES (1,09%)
37 MALAYSIA (1,12%)
38 NETHERLANDS (1,15%)
42 UKRAINE (1,27%)
43 ITALY (1,30%)
58 JAPAN (1,75%)
59 ARGENTINA (1,78%)
61 CANADA (1,84%)
63 CHINA (1,90%)
69 HUNGARY (2,08%)
92 ROMANIA (2,78%)
100 INDIA (3,02%)
102 UNITED KINGDOM (3,08%)
131 BRAZIL (3,95%)
134 FRANCE (4,04%)
179 SPAIN (5,40%)
220 RUSSIAN FEDERATION (6,64%)
305 GERMANY (9,20%)
370 TURKEY (11,61%)
417 POLAND (12,34%)
690 UNITED STATES (20,57%)
(3830 insgesamt)

Diese Verteilung hätte ich allerdings so nicht erwartet. Ich hätte viel mehr auf China und Hong Kong getippt, wenn es um hohes Spamaufkommen geht. Das die USA allerdings so weit vorne liegen, hatte ich (richtig) befürchtet. Das Deutschland und die Türkei ebenfalls so weit vorne liegen, verblüfft mich ehrlich gesagt doch etwas. Es gibt hier also noch viel nachzuholen. Wenn Deutschland bei der Fußball-EM 2008 genauso gut ist, wie mit der Fahrlässigkeit im Umgang mit dem Computer, dann könnte es, da die Amerikaner ja nicht mitspielen, gar auf einen dritten Platz reichen ...

Man könnte jetzt noch eine Abhängigkeit mit der geschätzten Gesamtanzahl von Internet-Computern pro Land hineinbringen, aber die Recherche ist mir dann doch etwas zu aufwändig.

(Die Programme, die für die Auswertung notwendig waren, habe ich im Übrigen selber geschrieben. Lässt sich innerhalb von ca. 10 Minuten erledigen. Es gibt dafür also keine Plugins - zumindest wären sie mir nicht bekannt.)

SSL-Zertifikat und CAPTCHAs

nospam@example.com (Alex) — Fri, 06 Jun 2008 17:21:10 +0200

Es gibt mal wieder ein paar Änderungen an meinem Blog bzw. an der Domain.

Vorerst wird für ein paar Wochen kein gültiges SSL-Zertifikat vorhanden sein. Vielleicht hat das der ein oder andere schon bemerkt, wenn er z.B. die Galerie besucht hat. Solange das Zertifikat allerdings von schokokeks.org spricht und den SHA1-Fingerabdruck 80:C8:FA:A2:9E:06:CF:13:79:EC:69:FA:E2:4A:83:E8:62:4A:B2:DE aufweist, ist alles in Ordnung.

Für mein eigenes CAcert-Zertifikat fehlen mir noch ein paar Punkte, um die ich mich in den nächsten Wochen mal bei Gelegenheit kümmern werde. Danach werde ich auch mal die Prüfung zum CAcert Assurer machen.

Was das Blog betrifft: hier habe ich die Text-CAPTCHAs deaktiviert, da sie eigentlich nutzlos sind. Bislang hatte ich sie auf die stärkste Stuffe eingestellt (ok, es gibt nur insgesamt drei Stufen: aus, ~~stark~~ schwach, ~~stärker~~ schwächer), um automatisierten Blog-Spam draußen zu halten. Nachdem ich aber meine Spam-Protokollierung der letzten acht Monate durchgesehen habe, ist der Einsatz von Text-CAPTCHAs in einem Blog total nutzlos, sofern man andere Maßnahmen ergreift, wie z.B. externe Spamfilter-Dienstleister wie Akismet oder Defensio einsetzt.

Wenn man also andere passende Maßnahmen ergreift, kann man auch die dümmsten Spam-Bots draußen halten. Es scheint nämlich auch noch so Exemplare zu geben, die mit CAPTCHAs generell nichts anzufangen wissen und ins Lösungsfeld eines CAPTCHAs schlichtweg nur "You have a nice site ;)" schreiben. Die bleiben auch ohne Einsatz von Text-CAPTCHAs draußen.

Ansonsten hat sich seit acht Monaten gezeigt, dass CAPTCHAs letztendlich nur für Probleme bei Menschen sorgen. Ungefähr ein Dutzend Kommentare ist hängen geblieben wegen fehlerhaft eingegebener CAPTCHA-Lösungen. Das passiert also in Zukunft nicht mehr. Die meisten Personen aus dem knappen Dutzend haben es nämlich kein zweites Mal probiert, sondern haben es schlichtweg aufgegeben. Und das ist ja genau das, was man nicht will und was auch der Definition eines CAPTCHAs widerspricht.

Des Weiteren denke ich im Moment über die Erstellung eines eigenen Anti-Spam-Plugins nach, was ich wahrscheinlich mit den nächsten Wochen mal testweise integrieren werden, um zu sehen, was ein neuer Ansatz gegen Blog-Spam bringt bzw. wie lange er ungeknackt bleibt.

Spamflut und Internal Server Error 500

nospam@example.com (Alex) — Sun, 20 Apr 2008 08:54:00 +0200

Vielleicht hat der ein oder andere Besucher gestern bzw. heute einen "Internal Server Error 500" auf meiner Webseite gesehen. Wie man sieht, ist dies jetzt wieder behoben.

Es hat aber einen kleinen Moment gedauert bis mir klar wurde, was auf einmal los ist.

Zuerst habe ich die Schuld schon auf irgendeine Änderung am Server geschoben gehabt. Es liegt aber nicht am Server, sondern an der Web-Applikation, obwohl daran niemand etwas verändert hat seit den letzten Tagen. Schlussendlich ist aber der Spam eigentlich schuld.

Was war passiert ?
Ich hatte zur Spambekämpfung bislang immer eine 24 Stunden andauernde IP-Sperre in der htaccess-Konfigurationsdatei drin, die von vom Weblog selbständig aktualisiert wird.

Eine neue Spamflut scheint nun aber herangerollt zu sein, die zur Folge hatte, dass in der Konfigurationsdatei nun hunderte von IPs für den Zugriff auf die Webseite gesperrt wurden. Irgendwann hat aber auch der Apache die Schnauze von solchen Komma-separierten IP-Adressen voll und erklärt die Konfigurationsdatei für ungültig, was letztendlich in einem "Internal Server Error 500" geendet hat.

Abhilfe: IP-Sperre deaktiviert und "Deny from"-Zeile gelöscht.

Da stellt sich mir aber noch folgende Frage: wie sieht es überhaupt mit der Speicherung von IP-Adressen zur Spambekämpfung aus ?
Das "Niederschreiben" der IP-Adresse in Logs ist ja nicht mehr erlaubt oder das Verbot befindet sich gerade in der Mache - AFAIK.

Kommentare zu dieser Thematik sind erwünscht !

Wenn die Gemeinde für SPAM sorgt

nospam@example.com (Alex) — Tue, 25 Dec 2007 22:52:00 +0100

Im Moment langweile ich mich ein wenig und bin daher eigentlich kurz davor gewesen meinen Laptop zu zuklappen.

Der Grund, warum ich dies jetzt nicht getan habe, ist, weil ich mir die (neugemachte) Homepage meiner alten Gemeinde angeschaut habe. Irgendwie habe ich geahnt, dass ich irgendeine Schwachstelle ruck-zuck finden würde, aber gleich ein Spam-Relay ist natürlich sehr nett, wenn ich denn ein Spammer wäre.

Genaue Details gibt es keine, da die Kommentare im HTML-Code der Webseiten so aussehen, als würde das verwendete CMS auch (in Zukunft) für andere Gemeinden verwendet werden.

Getestet habe ich meinen kleinen Fund zwar nicht, da ich für solche Aktionen lieber verlässlichen Rechtsbeistand hätte, aber weil mir dergleichen fehlt und ich selbst kein Jurist bin, bleibt es eben bei einer Vermutung basierend auf HTML-Quellcode.

Das verwendete CMS bietet dem Bürger auch ein Kontaktformular an mit dessen Hilfe er Lob und Kritik an das Amt schicken kann unter Angabe seiner E-Mail-Adresse für evtl. Rückfragen.

Was man dabei natürlich niemals machen sollte, ist versteckte Eingabefelder für die E-Mail-Adressen des Versenders und des Empfängers im Formular zu definieren, so dass diese an den Benutzer zurückgeschickt und durchaus manipuliert werden könnten. Wenn nun zumindest die Empfänger-Adresse manipuliert wird, kann man Spam von diesem Server an beliebige Empfänger schicken, sofern hier nicht serverseitig nochmals geprüft wird. Diese Überprüfung ist nun der entscheidende Punkt bei meinem Fund. Ich nehme nicht an, dass eine abschließende Überprüfung stattfindet, denn wer sich dieses Problems bewusst ist, der bastelt nicht am Ende der Kette irgendwie herum, sondern behebt direkt am Anfang der Kette den zugrunde liegenden Designfehler.

(Natürlich besteht die Möglichkeit, dass der MTA so konfiguriert ist, dass keine E-Mails an nicht white-gelistete Domains geschickt werden bzw. das das Skript mehrere Empfänger-Adressen erlaubt und dieses später noch überprüft.)

Wie man Spam per E-Mail nicht verhindert

nospam@example.com (Alex) — Sat, 28 Apr 2007 13:07:44 +0200

Um sich gegen Spam zu rüsten, verwenden viele Leute keine klickbaren Links mehr und verschleiern ihre E-Mail-Adresse auch dann, wenn sie nur reiner Text ist. [a] [at] (a) etc. kennt man ja.

Allerdings scheint dies jemand bei der Zero Day Initiative nicht ganz verstanden zu haben. Anders kann ich mir das jetzt nicht wirklich erklären (der kleine rot umrahmte Ausschnitt zeigt den Inhalt der Statuszeile - also den Verweis):

Spam über Trackbacks - Woher kommt er eigentlich ?

nospam@example.com (Alex) — Sat, 28 Apr 2007 01:29:00 +0200

Spam passt zwar eigentlich nicht zu 100 % in die Kategorie "IT-Security", aber da zumindest in E-Mails auch Anhänge oder schlichtweg nur URLs zu präparierten Webseiten enthalten, die Schadcode einschleusen sollen, trifft es die Kategorie doch noch ganz gut. (Nicht jeder Spam ist böse ausgerichtet.)

Ich habe mein Weblog so eingestellt, dass es Spam protokolliert, um die Filter entsprechend anpassen zu können, um den Mist weiterhin ohne Interaktion automatisch draußen zu halten. Sicherlich kann man auch nur den durchgerutschten Spam zur Analyse benutzen, aber so gibt es genug Material für eine Analyse, die man sonst nicht bzw. nur sehr langwierig machen könnte. Schließlich soll ja nichts hindurchrutschen. (Und auf false-Positives sollte man die Filter ja auch ab und zu überprüfen.)

Als erstes habe ich mich mit der IP des Versenders des Trackback-Spams beschäftigt. Das geht auch am Schnellsten.

Der aktuelle Zeitraum, den ich für die Analyse hinzugezogen habe, erstreckt sich über einen Zeitraum von ca. 56 Tagen. Ich muss aber dazu sagen, dass ich es nicht ganz exakt durchgeführt habe. Soll heißen: Der Zeitraum beginnt nicht bei Tag x um 00:00:00 Uhr und endet x + 56 Tage später um 23:59:59 Uhr. Das fand ich bei Spam, den kein Mensch mag, für unnötig. Repräsentativ ist das Ergebnis sowieso nicht, weil die Absender-IP auch nur eine Station ist, die u.U. nicht wirklich die ist, die den Spam verschickt (Dial-In Provider mit gehackten Kunden-PCs dahinter, die nur als Hop dienen, offene WLANs, etc.)
Daher ist es also sehr gut möglich, dass der Spam in Deutschland versendet wurde, aber letztendlich hier mit einer IP-Adresse, bspw. vergeben an eine Firma, aus Russland aufschlägt.

Hier nun die Top-20-Länder-Liste, worüber hier Trackback-Spam reinkommt (absteigend sortiert nach gleicher IP (!) über einen ca. 56 Tage Zeitraum):

790x Taiwan
553x Niederlande
252x Schweden
233x New York
210x China
206x Florida
199x Illinois
180x New York
168x Texas
166x Texas
164x Niederlande
163x Australien
160x Texas
137x Texas
131x Niederlande
097x Kalifornien
092x Pakistan
090x Korea
089x Großbritannien
078x China

Noch ein paar weitere Worte dazu: Das z.B. Texas mehrmals in der Liste auftaucht liegt schlichtweg daran, dass die IP-Adresse aus einem anderen Bereich stammt, welcher einem anderen Provider oder einer anderen Firma zugeteilt ist, welche aber dennoch im gleichen Land bzw. US-Bundesstaat liegt.

Um tatsächlich eine Top-20-Länderliste zu erhalten, muss man also hier noch die mehrfach auftauchenden gleichen Länder / US-Bundesstaaten zusammenzählen, was ich auch getan habe. Bei Korea habe ich mir nicht die Mühe gemacht, um herauszufinden, ob nun Nord- oder Südkorea dafür verantwortlich ist. (Ist aber nicht besonders schwer.)

848x Niederlande
790x Taiwan
631x Texas
413x New York
288x China
252x Schweden
206x Florida
199x Illinois
163x Australien
097x Kalifornien
092x Pakistan
090x Korea
089x Großbritannien

Nun ist es natürlich keine Top-20 Länderliste (13 verbleibend) mehr.

Interessant zu sehen, wie es sich verteilt. Aus Russland kommt zumindest direkt nicht viel. Jedenfalls von unterschiedlichen IP-Adressen weniger als 89x in dem genannten Zeitraum, so dass Russland gar nicht in der Liste erscheint. In letzter Zeit hört man verstärkt, dass die USA und der asiatische Raum besonders stark für ein Spam-Aufkommen sorgen. Das lässt sich auch dieser Liste entnehmen. Jedoch liegen hier die Niederlande auf dem ersten Platz, was mich doch sehr gewundert hat.

Letztendlich verliert aber doch der asiatische Raum, wenn man China, Taiwan, Pakistan und Korea zusammenaddiert (1260x) gegenüber den US-Bundesstaaten (1546x). (Geographen sollten sich an dieser Stelle nicht gekränkt fühlen, wenn ich ein Land falsch eingeordnet haben sollte. )

Da die Analyse letztendlich doch recht interessant war, werde ich mir sicherlich in nächster Zeit mal ein Programm schreiben, was mir die ganze Arbeit abnimmt. Dann könnte man die ganze Sache auch etwas komplexer abhandeln. Den Zeitraum der Datensammlung werde ich dann natürlich auch exakt abstecken. Die Datensammlung wird nächstes Mal entweder ein Quartal oder ein halbes Jahr werden.

Spam-Flut

nospam@example.com (Alex) — Fri, 19 Jan 2007 13:20:25 +0100

Ihr könnt euren Spam behalten, der kommt hier nicht durch den Trackback-Filter auch wenn ihr es immer noch seit 6:00 Uhr versucht !

Frage mich gerade, was da auf einmal los ist. Neues Botnetz aktiviert ?

Ich glaube, dass es damit beschlossene Sache ist, das mein Exploit unter Verschluß bleibt.