© photocase.com
Spam-Botnetz überfällt Charly
Auftragskiller
von Charly Kühnast
Erschienen im Linux-Magazin
2006/07
Der Überfall eines Spam-Netzes reißt Magazin-Autor Charly Kühnast jäh aus einer sehr sinnvollen Tätigkeit. Sein separater Antispam-Server, der dem Mailserver vorgeschaltet ist, erweist sich als nötiger Luxus.
Ein sonniger Dienstag im Mai. Ich tippe gerade an meiner Sysadmin-Kolumne fürs Linux-Magazin. Es ist etwa 14 Uhr, als ich Seitenblick auf den Monitor riskiere, der ständig die Last- und Trafficdaten meiner wichtigsten Server anzeigt: Dort steigt die Reject-Linie auf dem Mailgraphen des Spamfilters sprunghaft in die Höhe (siehe Abbildung 1). Die Kolumne muss warten.
|
Abbildung 1: Die Reject-Linie auf dem Mailgraphen des Spamfilters steigt sprunghaft in die Höhe - der Angriff einer kleinen Spam-Armee.
|
Rejects - der Server lehnt also die Annahme einer großen Menge Mails bereits in einem frühen Stadium des SMTP-Dialogs ab. Ich vermute eine Spam-Welle mit stümperhaft gefälschten Envelopes. Das ist keine Seltenheit: Auf jede erwünschte E-Mail, die bei mir eingeht, kommen zwei Spam-Mails. Trotzdem verbinde ich mich per SSH auf den Spamfilter - der läuft auf einer extra Maschine - und staune nicht schlecht: Ich finde 140 parallele SMTP-Verbindungen vor, Tendenz steigend. Das ist etwa zehnmal mehr als der normale Pegel.
Ungewöhnlich auch, dass der Server die einlaufenden Verbindungen umgehend wieder vor die Tür setzt. Meine entfachte Neugier treibt mich ins Logfile. Wie erwartet kommt jede Mail aus einer anderen Quelle. Die IP-Adressen gehören zu zwei Dritteln Dialup-Providern aus dem europäischen Raum, der Rest grüßt aus den USA und Brasilien. Die Rechner nennen brav ihren vollqualifizierten Namen im »HELO« und scheinen damit nicht einmal zu lügen - das ist ungewöhnlich. Gefälschte HELOs sind bei Spam nämlich der Normalfall.
Die Täter sind selbst Opfer
Ich schnappe mir Nmap und scanne ein paar Ports. Außerdem lasse ich Nmap mit »--osscan-guess« herausfinden, welches Betriebssystem auf den Spam- schleudern läuft. Mich interessiert, ob es sich um offene Relays, gekaperte oder kaputt konfigurierte Mailserver, exploitete Webserver oder einfach um Trojaner-verseuchte Privat-PCs handelt. Nmaps Antwort ist eindeutig: Letzteres. Die untersuchten Maschinen sind sämtlich PCs unter Windows XP, keine ist als Mail- oder Webserver konfiguriert - ich mache also gerade Bekanntschaft mit einem Botnet.
Ein Botnet ist ein Verbund autarker Rechner, die eines gemeinsam haben: Eine Schadsoftware hat sie infiziert, die alle Rechner von zentraler Stelle aus fernsteuert. Die Rechner in einem Botnet werden oft Leafbots oder Zombies genannt. Jeder einzeln relativ harmlos, geraten sie als Masse zur gefährlichen Waffe. Das Botnet, mit dem ich es gerade zu tun habe, scheint zum Glück nur etwa 200 Rechner zu umfassen.
Werbe-Unterbrechung
Zum Weiterschreiben des Linux-Magazin-Manuskripts komme ich trotzdem nicht, denn gerade erhöht sich die Frequenz der eintreffenden Mails. Weil ich die Anzahl gleichzeitiger SMTP-Prozesse limitiert habe, besteht jetzt die Gefahr, dass erwünschte Mails verzögert werden, weil gerade kein Prozess zur Verarbeitung frei ist. Ein Blick auf die Systemauslastung: Der Spamfilter hat noch reichlich Reserven. Ich hebe das Limit auf. Das Botnet gibt alles: Wenige Minuten später liegen 580 parallele SMTP-Verbindungen an (Abbildung 2).
|
Abbildung 2: Nachdem das SMTP-Limit aufgehoben ist, laufen die Angreifer gegen den Server sturm. »loadavg« ist aber nur um 0,3 - alles in Ordnung.
|
Ganz und gar nicht in Ordnung ist der sich offenbarende Umstand, dass diese Dinger meinen Greylister überwinden. Das steht in krassem Gegensatz zu meiner bisherigen Erfahrung mit Botnets. Beim Greylisting lehnt der Server eine eingehende Mail zunächst immer mit einem temporären Fehler (»450 please try later«) ab. Beim zweiten Zustellversuch akzeptiert er die Mail dann [1].
Hintergrund: Spambots besitzen normalerweise keine Warteschlange, in die nicht zustellbare Mails temporär wandern, um später ein zweites Mal auf die Reise zu gehen. Offensichtlich ist Greylisting aber inzwischen so verbreitet, dass Spammer sich Gedanken darüber machen, wie diese Hürde zu überwinden ist. Listing 1 zeigt, wie sich das bei mir auswirkt. In Zeile 1 des Logfile-Auszugs verbindet sich ein Bot mit meinem Server. In der dritten Zeile sehe ich an »greylist=update«, dass es bereits der zweite Verbindungsversuch des Bot ist, nachdem mein Server den ersten mit einem temporären Fehler abgelehnt hat.
| Whitepaper |
|---|
|
Usage Landscape Enterprise Open Source Data Integration
Die Nachfrage nach Datenintegrationslösungen für Unternehmen ist zunehmend gestiegen und vor allem das Interesse an Open Source Technologien wird immer größer. Doch wie und von wem werden Open Source Datenintegrationslösungen genutzt und welches Nutzungsverhalten lässt sich daraus ableiten? Das vorliegende White Paper präsentiert die Erfahrungswerte von über 1000 Open Source Nutzern und liefert fundierte Antworten auf diese Fragen.
Download PDF (Registrierung erforderlich)
|
|
Daten Migration - Eine Publikation von Bloor Research
Datenmigrationsprojekte überschreiten häufig das Budget, neigen zu Verzögerung und werden unter Umständen komplett abgebrochen. Bloor Research ist eines der weltweit führenden IT-Forschungs-, Analyse- und Beratungsunternehmen und wird in dem vorliegenden White Paper die wichtigsten Aspekte dieser Problematik näher beleuchten. Ferner werden praktische Empfehlungen für erfolgreiche Migrationsprojekte gegeben, die Sie auf Ihr nächstes Projekt übertragen können.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
