Jürgen Auer
Legendäres Mitglied
Vorhin fiel mir auf, daß meine Newsletter-Anmeldung wiederholt aufgerufen wurde. Da aktuell ein NET-Trace läuft, werfe ich einen Blick in dieses und finde die folgende Auflistung:
Beispiel 1:
QUOTE Form Collection
Name Value
_oA-myButton promised2759@beispiel.server-daten.de
__pa promised2759@beispiel.server-daten.de
__fn promised2759@beispiel.server-daten.de
UI_mail promised2759@beispiel.server-daten.de
__et promised2759@beispiel.server-daten.de
_uA promised2759@beispiel.server-daten.de
_parent-myButton meat Content-Transfer-Encoding: quoted-printable Content-Type: text/html Subject: in the nited tates by bcc: eeeese@wearyingldm.com that is at least 20.5 protein (not counting fat portions) and contains no a= dded water. owever ham can be legally applied to such things as turkey ham = if the meat 1cd9355ef4739dee1cd80f463acc7282 .
Querystring Collection
Name Value
url http://www.sql-und-xml.de/freeware-tools/o...ml-trainer.html
Beispiel 2:
QUOTE Form Collection
Name Value
_oA-myButton or3525@beispiel.server-daten.de
__pa or3525@beispiel.server-daten.de
__fn or3525@beispiel.server-daten.de
UI_mail or3525@beispiel.server-daten.de
__et or3525@beispiel.server-daten.de
_uA over Content-Transfer-Encoding: quoted-printable Content-Type: text/html Subject: is an bcc: joanballinge6925@leavingisl.com at least 800 meters above sea level, with a minimum 9faa5d4a5d56f7e99fab64ce93e91885 .
_parent-myButton or3525@beispiel.server-daten.de
Querystring Collection
Name Value
url http://www.sql-und-xml.de/technik-dieser-s...xml-praxis.html
'Form Collection' sind die Html-Felder innerhalb eines <form>-Elements, die zurückgesandt wurden.
'Querystring Collection' listet die mit ? an die Url angehängten Werte.
Der Newsletter kann über die Seite http://beispiel.server-daten.de/newsletter-subscribe.html abonniert werden und nutzt die Standardtechniken mit einigen öffentlichen bzw. versteckten Feldern: UI_Mail ist das Feld, in das der Nutzer etwas eingibt, __pa/__fn/__et/_uA sind auf allen Formularen gleich, die anderen versteckten Felder verwenden vorgegebene Kürzel und den Namen (hier: myButton), den der Ersteller dieser Ausgabeseite dem angeklickten Button verpaßt hat. Ein passender Code ist auf verschiedenen Seiten meiner Hauptdomain links im Menü eingebunden. Der Code schickt immer die Aufruf-Url als Querystring url=Aufruf-Url mit. Die obigen Aufrufe (18 insgesamt) kamen alle als POST-Aufrufe von verschiedenen (also gefälschten) IP-Adressen.
Man sieht also: Die Spambots holen sich einmal per GET die aufrufende Seite (auf meiner Hauptdomain), lesen alle Formularfelder aus und bestücken eines mit einem injizierten Mailheader, alle anderen mit einer Zufallsmailadresse (hier bsp. or3525@beispiel.server-daten.de ). Das ganze durchläuft zyklisch alle Felder.
Es ist zu vermuten, daß die Mailadressen eeeese@wearyingldm.com usw. dem Spammer gehören, erst wenn auf dieser Mailadresse eine Mail mit einem passenden Zufallsschlüssel bzw. einer @beispiel.server-daten.de - Adresse eintrudelt, wird das Formular erneut aufgesucht - um dann massivst Spam zu versenden.
Es ist natürlich klar, daß ein bloßes Umbenennen der Seite oder ein Umbenennen der öffentlichen oder der versteckten Felder gegen so einen Angriff nicht schützt.
Edit: Kleine Ergänzung: Der injizierte Code ist korrekt mit Returns gefüllt, das oben zitierte Trace zeigt das nicht an.
CODE over
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html
Subject: is an
bcc: joanballinge6925@leavingisl.com
at least 800 meters above sea level, with a minimum
9faa5d4a5d56f7e99fab64ce93e91885
.
Beispiel 1:
QUOTE Form Collection
Name Value
_oA-myButton promised2759@beispiel.server-daten.de
__pa promised2759@beispiel.server-daten.de
__fn promised2759@beispiel.server-daten.de
UI_mail promised2759@beispiel.server-daten.de
__et promised2759@beispiel.server-daten.de
_uA promised2759@beispiel.server-daten.de
_parent-myButton meat Content-Transfer-Encoding: quoted-printable Content-Type: text/html Subject: in the nited tates by bcc: eeeese@wearyingldm.com that is at least 20.5 protein (not counting fat portions) and contains no a= dded water. owever ham can be legally applied to such things as turkey ham = if the meat 1cd9355ef4739dee1cd80f463acc7282 .
Querystring Collection
Name Value
url http://www.sql-und-xml.de/freeware-tools/o...ml-trainer.html
Beispiel 2:
QUOTE Form Collection
Name Value
_oA-myButton or3525@beispiel.server-daten.de
__pa or3525@beispiel.server-daten.de
__fn or3525@beispiel.server-daten.de
UI_mail or3525@beispiel.server-daten.de
__et or3525@beispiel.server-daten.de
_uA over Content-Transfer-Encoding: quoted-printable Content-Type: text/html Subject: is an bcc: joanballinge6925@leavingisl.com at least 800 meters above sea level, with a minimum 9faa5d4a5d56f7e99fab64ce93e91885 .
_parent-myButton or3525@beispiel.server-daten.de
Querystring Collection
Name Value
url http://www.sql-und-xml.de/technik-dieser-s...xml-praxis.html
'Form Collection' sind die Html-Felder innerhalb eines <form>-Elements, die zurückgesandt wurden.
'Querystring Collection' listet die mit ? an die Url angehängten Werte.
Der Newsletter kann über die Seite http://beispiel.server-daten.de/newsletter-subscribe.html abonniert werden und nutzt die Standardtechniken mit einigen öffentlichen bzw. versteckten Feldern: UI_Mail ist das Feld, in das der Nutzer etwas eingibt, __pa/__fn/__et/_uA sind auf allen Formularen gleich, die anderen versteckten Felder verwenden vorgegebene Kürzel und den Namen (hier: myButton), den der Ersteller dieser Ausgabeseite dem angeklickten Button verpaßt hat. Ein passender Code ist auf verschiedenen Seiten meiner Hauptdomain links im Menü eingebunden. Der Code schickt immer die Aufruf-Url als Querystring url=Aufruf-Url mit. Die obigen Aufrufe (18 insgesamt) kamen alle als POST-Aufrufe von verschiedenen (also gefälschten) IP-Adressen.
Man sieht also: Die Spambots holen sich einmal per GET die aufrufende Seite (auf meiner Hauptdomain), lesen alle Formularfelder aus und bestücken eines mit einem injizierten Mailheader, alle anderen mit einer Zufallsmailadresse (hier bsp. or3525@beispiel.server-daten.de ). Das ganze durchläuft zyklisch alle Felder.
Es ist zu vermuten, daß die Mailadressen eeeese@wearyingldm.com usw. dem Spammer gehören, erst wenn auf dieser Mailadresse eine Mail mit einem passenden Zufallsschlüssel bzw. einer @beispiel.server-daten.de - Adresse eintrudelt, wird das Formular erneut aufgesucht - um dann massivst Spam zu versenden.
Es ist natürlich klar, daß ein bloßes Umbenennen der Seite oder ein Umbenennen der öffentlichen oder der versteckten Felder gegen so einen Angriff nicht schützt.
Edit: Kleine Ergänzung: Der injizierte Code ist korrekt mit Returns gefüllt, das oben zitierte Trace zeigt das nicht an.
CODE over
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html
Subject: is an
bcc: joanballinge6925@leavingisl.com
at least 800 meters above sea level, with a minimum
9faa5d4a5d56f7e99fab64ce93e91885
.