PDA

Vollständige Version anzeigen : Mailattacke / JoeJob-Attacke (also explanations in english)


Andreas
08.05.2008, 09:13
Hallo,

Seit heute morgen wird meine trekkingforum.com eMailadresse von einer Mailattacke überflutet. Ich kann also momentan keine Forums-eMails empfangen oder senden. Erhalte dadurch aber auch keine Benachrichtigungen.

Meinem Provider habe ich das schon mitgeteilt. Er kümmert sich darum.

Grüße,
Andreas

Andreas
08.05.2008, 10:48
UPDATE:

Das Serviceteam meines Servers (ich hoste bei domainfactory.at) hat sich die Header einiger MailDeliverys angesehen. Demnach bin ich Opfer eines so genannten JoeJobs (http://en.wikipedia.org/wiki/Joe_job) geworden. Ein Spammer sendet massenhaft eMails über irgendwelche Server und trägt im Envelope als angeblichen Absender irgendeine eMail Adresse auf der Trekkingforum.com Domain ein. Somit werden Unzustellbarkeitsnachrichten (die Bounces) an meinen eMail-Server und damit mir gesandt.

Da diese eMails allerdings nicht über meinen Server (resp. der Server von Domainfactory) versandt werden, kann ich bzw. können die Serviceleute nur wenig dagegen ausrichten. Ich kann nur Folgendes machen:

Catchall eMail Adresse deaktivieren, damit die Bounces nicht mehr angenommen werden --> habe ich erledigt, aber die Bounces gehen leider direkt an die webmaster @ trekkingforum.com und kommen trotzdem durch
Es bliebe nur, das eMail Postfach, auf dem die Bounces ankommen, für einige Zeit löschen --> ich werde das tun, bin dann aber für diese Zeit für euch nicht erreichbar. Es kann sogar sein, dass dann keine eMail-Benachrichtigungen mehr an euch rausgehen, denn die erfolgen zwar automatisch durch die Forensoftware, aber eben mit dieser eMail-Adresse.
Einen kurzen Hinweis auf der Website veröffentlichen, indem ich (auf Deutsch und auf Englisch) erläutern, dass ich mit dem SPAM nichts zu tun haben. Damit vermeide ich, einen schlechten Ruf zu bekommen. Genau das mache ich hiermit:Deutsch: Momentan werden über einen so geannten JoeJob (http://en.wikipedia.org/wiki/Joe_job) Spammails über die eMail-Adresse webmaster @ trekkingforum.com versendet. Diese Mails kommen nicht von mir. Meine eMail-Adresse wird unrechmäßgerweise dazu verwendet. Ich bitte dafür um Entschuldigung, kann aber nichts dagegen unternehmen.

English: Unfortunately, at the moment a so called JoeJob (http://en.wikipedia.org/wiki/Joe_job) is done with my eMail adress webmaster @ trekkingforum.com. Please have a look at Wikipedia to learn about this. There's nothing I can do about it, just hope that it ends soon. Please accept my apologies.

Mein Provider schreibt außerdem abschließend: "Bedauerlicher Weise können wir nicht viel mehr anbieten [...]".

Es ist klar und unmißverständlich dargelegt worden, dass dies ein absichtliches Vorgehen ist, um mir resp. dem Trekkingforum zu schaden. Ich behalte mir rechtliche Schritte vor. Sämtliche Daten werden aufgezeichnet und in den Logfiles gespeichert.

Beste Grüße,
Andreas

PS: Die Funktionen des Forums selbst sind in keinster Weise beeinträchtigt. Lasst euch also nicht abhalten, weiter fleissig das Forum zu nutzen. Nur um Mißverständnisse zu vermeiden: dies ist kein Hackingvorgang!

doro
08.05.2008, 15:00
hi andreas,

das tut mir leid, dass nun dieser aerger auch noch zu deinen weiteren hinzukommt. ich war auch schon von so nem .... betroffen und es dauerte tage, bis es endlich gelang alle bounces, 31 Millionen, zu beseitigen. mein provider konnte dann aber schlussendlich auch noch hilfreich eingreifen. Trotzdem ich musste meine harddisk neu formatieren und habe fast all meine kundendaten verloren.

ich weiss nicht, was das für menschen sind, die so was mutwillig machen.

trotzdem herzlich
doro

Soshin
08.05.2008, 16:19
Das hat noch gefehlt.
Welche Dolme machen so etwas?

:mad:

Arbeiten wirst Du wahrscheinlich ja genug dran müssen, aber ich hoffe, daraus entsteht zumindest kein finanzieller Schaden für Dich (Traffic). :(

Soshin
08.05.2008, 20:38
An Anzahl politisch motivierte Attacken über das Web nimmt den Experten von Trend Micro zufolge zu. Die sogenannten "Hacktivists" verfolgen im Gegensatz zu den heute dominierenden Cyber-Kriminellen keine finanziellen Interessen. Websites verschandeln
Hacktivism ist zwar kein neues Phänomen, gewann in den vergangenen Jahren aber zunehmend an Bedeutung. Die politisch und sozial motivierten Hacker setzen dabei Methoden wie Website Defacement, das Verunstalten von Seiten auf Webservern. Auch Dos-Attacken, Informationsdiebstahl, Sabotage und Website-Parodien werden gerne eingesetzt.
Tibet-Proteste
Vorschub hat vor allem die aktuelle Situation in Tibet geleistet. So sei unter anderem die Website der tibetanischen Exilregierung von Hackern manipuliert worden. Neben weiteren Angriffen auf Pro-Tibet-Gruppen (der WebStandard berichtete (http://derstandard.at/?id=3298880)) wurden in der jüngsten Vergangenheit etwa auch DDoS-Attacken auf Unternehmens- und Regierungsseiten in Estland und auf Websites des US-amerikanischen Radio Free Europe/Radio Liberty in Osteuropa verzeichnet. (red)
<hr color="#799064" noshade="noshade" size="1">Links Trend Micro (http://de.trendmicro.com/de/home/)
Nachlese
Chinesische Hacker nahmen CNN unter Beschuss (http://derstandard.at/?id=3314499)
Chinesische Hacker greifen Pro-Tibet-Gruppen an (http://derstandard.at/?id=3298880)
<!-- google_ad_section_end -->http://derstandard.at/img/dot_clear.gif

Listen and Relax mit derStandard.at/Radio (http://derstandard.at/Radio)



08. Mai 2008
10:29
http://images.derstandard.at/20080507/protest_APJoshi.jpg

Kein Kommentar.

:mad:

und trotzdem

Zazura
08.05.2008, 20:55
UPDATE:

[....]

PS: Die Funktionen des Forums selbst sind in keinster Weise beeinträchtigt. Lasst euch also nicht abhalten, weiter fleissig das Forum zu nutzen. Nur um Mißverständnisse zu vermeiden: dies ist kein Hackingvorgang!

Wie Andreas schrieb handelt es sich nicht um einen Hackerangriff!
Ich könnte mir vorstellen, dass er hier nicht unbedingt möchte, dass nun Spekulationen etc. angestellt werden.
Vorschlag: Vielleicht sollten wir die Mitteilung als solche unkommentiert hier stehen lassen. :roll:

Soshin
08.05.2008, 22:17
... This will be pretty simple, as your inbox will already be flooded with bounces of the message. If the Joe Job is indeed an attack against your Website, your URL will be advertised within the message. As a result, some recipients will likely visit your Website, possibly to look around for a way to get off what they think is your mailing list, or to find a place to report the spam. These people are proactive types, so it's important that you display prominently on your Website information that explains the situation to them, as well as a message that asks for their help in ending the annoyance for you and them.
First, explain that you are not the sender of the spam, and that you do not have their name on a list. You should also publish an example of the message that's being distributed, and explain why you believe it is being sent, however, don't name names unless you are ready to take the issue to court. Once you've explained, and apologized for, the situation, solicit users' help. This will be your most valuable weapon, and may be the only way to put an end to the Joe Job!
While it is possible to forge the sender's email address in a spam, it is NOT possible to forge the source IP of the server that sent the email. This means that the Web server that's being exploited to send the email can be found and shut down. Many recipients of the spam will be quite motivated to end it any way possible, and if they're at your Website, they're already looking for a way to report the issue or take further action to end it. Below are the instructions you can provide them to do just that:
Start of instructions to provide on your Website for recipients to combat the Joe Job:
1. In your email program, enable viewing of Headers.
Example:
(Replace with the header below with one of the bounces you have received. The IP address has been replaced with xxx.xxx.xxx.xx in the example below.)
Received: from adsl-xxx-xx-xx.bgk.bellsouth.net (http://www.sitepoint.com/glossary.php?q=%23#term_2) [xx.xxx.xxx.xx] by example.com (SMTPD32-8.00) id AD587D1017C; Wed, 04 Jun 2003 16:58:00 -0400 Message-ID: <2003063883.31625.qmail@example.com> Date: Wed, 4 Jun 2003 13:59:48 -0700 From: "sender" Subject: Daily news from your Website To: MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii X-RCPT-TO: Status: U X-UIDL: 352928421
The only part of these headers that you CANNOT forge is the Received: lines.
Notice that this message was from xx.xxx.xxx.xx, which is a BellSouth IP address. (All IP addresses are assigned to companies/countries.)
I again emphasize: the sender's EMAIL ADDRESS is SPOOFED. This is where the attacker wants you to believe the mail is coming from -- but it is NOT. The sender's email address is worthless.
2. Go to SpamCop (http://www.spamcop.com/), paste the header into their Website, and hit Interrogate. SpamCop will look up who owns the IP, and tell you who to send Abuse Reports to. On the next page, you will be able to send the correct party an Abuse Report. In your message, include the entire email you received, as well as a message, such as:
"I am receiving spoofed messages from the server addressed in the headers of this email. Please shut down this server immediately, or close the relays on the box. You are hosting a machine that is spamming and may be held liable if you refuse to correct this issue."
End of instructions to provide on your Website for recipients to combat the Joe Job

andr3as
13.05.2008, 14:17
ich habe für sowas auf meinen servern amavisd installiert, der gleich auf dem mailserver filtert und noch alles durch spamassasin und clamav schickt.

somit kommt kein bullshit durch und die mails sind weitestgehend spam und virenfrei.

Kombrig
13.05.2008, 22:58
Es ist klar und unmißverständlich dargelegt worden, dass dies ein absichtliches Vorgehen ist...

Nicht unbedingt. Außer absichtl. Verändern vom Header (Absender = trekkingforum, => Mailer Daemon bei Nicht-Zustellung bombardiert den trekkingforum) kann es ein Trojaner sein, der die Adresse von Trekkingforum (die er im Adressenbuch eines verseuchten PCs findet) automatisch als Mail-Absender setzt.

Habe schon so etwas erlebt: Mail bekannt, blöderweise im Klartext auf der Webseite (zu spät, die in ein Bild zu umwandeln, da von verschiedenen Gooogels gefressen). Erste Abhilfe - Filter einrichten, die alle Daemon-Variationen im Betreff (delivery failure, etc, etc - waren viele) ins "Schwarze Loch" schicken. Hat gut geholfen, bloß Gefahr, dass eigene Mails an falsche Adresse nich vom Daemon zurück kommen (kann ich vertragen...). Dann bei einem Bekannten (ich war zufäll. vorbeigekommen) ein Troyaner gefunden und vernichtet, plötzlich (=sofort) war Ende. Das Filtern von Daemon-Zeug zur Probe ausgeschaltet - kamm kein Schrott mehr. 100% sicher bin ich nicht, dass es eben an diesem Trojaner lag, der Zufall (sofortiges Aufhören) ist aber sehr komisch.

Wenn VIELE (viele heißt richtig VIELE, nicht einzelne) Teilnehmer des Forums merken, dass sie sehr oft und massenhaft Entschuldigungen von Mailer Daemon bekommen ("Leider kann ich Ihre Nachricht bla-bla-bla.., "habe 6 Mal versucht bla-bla-bla...", "aufgegeben tralala), dann ist die Datenbank des Forums richtig kompromettiert. Hoffentlich ist das nicht der Fall.

Info über die 2. Möglichkeit (Trojaner setzt automatisch deine Adresse als Absender) stammt nicht von mir, wurde bereits in vielen PC-Foren diskutieret.

Andreas
20.05.2008, 16:48
Diese Attacke hat mich jetzt fast 10 Tage Zeit und Nerven gekostet.

Es waren zwar nicht 31 Millionen, wie bei dir, Doro, aber viele Tausend Bouncemails am Tag. Extrem lästig, dabei 'normale' Mails herauszufiltern. Manchmal war ich knapp dran, einfach alle eingehenden Mails zu löschen. Konnte mich dann aber doch beherrschen ;). Das Problem war, dass ich die eMail-Adresse nicht einfach aufgeben und eine andere einrichten konnte, da sie zu tief im Forum verankert ist und alle Benachrichtigungen über neue Beiträge, PNs oder Registrierungen und Aktivierungsmail darüber laufen.

@ Soshin: Ich weiß, dass es solche (politischen) Attacken gibt, aber das war es hier sicher nicht; dazu ist das Tf zu unwichtig ... ;)

@ andreas__: Naja, es handelte sich ja nicht um Spam, sondern um Bounces; meine Spamfilter funktionieren eigentlich auch ganz gut: das meiste habe ich serverseitig eingerichtet. Clientseitig sind es nur mehr einige wenige Filter, die den Rest schnappen.

@ Kombrig: Da hast du vollkommen recht, dass es auch ein Trojaner bei irgendjemanden sein konnte, denn ich nehme an, dass diese eMail-Adresse viele Leute in ihrem Adressbuch haben, aber die Serviceleute von meinem Provider haben die Mailheader analysiert und sind zum Ergebnis gekommen, dass es eher eine beabsichtigte Aktion war.


Ich habe die Situation jetzt soweit im Griff, dass ich die eMails über diese Adresse wieder normal abrufen kann. Geholfen haben mir RegEx (http://de.wikipedia.org/wiki/RegEx) (engl. regular expression), die ich auf meinem Mailserver eingerichtet habe. Da ich mich zum einen noch nie richtig damit beschäftigt hatte und ich erst alles dazu lernen musste und der Umgang damit äußerst mühsame Kleinarbeit war, hatte es solange gedauert. Jeden Tag kämpfte ich damit, die RegEx so einzustellen, dass alle normalen Mails auch normal zugestellt werden (zB Aktivierungsmails für Neuregistrierte).

Wen es interessiert, hier gibt es Tutorials dazu, die ich verwendet habe:
http://www.tutorials.de/forum/php-tutorials/142738-regulaere-ausdruecke-regular-expressions-regex.html
und
http://www.regenechsen.de/phpwcms/index.php?regex_allg
(schaut euch dort die Beispiele an, dann wisst ihr, was mich 10 Tage lang quälte:schwitz:)

Beste Grüße,
Andreas