Pagina 1 di 1

Mail bombing

Inviato: sab 23 ott 2010, 2:40
da samiel
Nella mia scuola abbiamo avuto alcuni attacchi di mail bombing.
Nei form del sito ho messo un controllo captcha,
ma le mail sono - e ovviamente devono restare - pubbliche.
Quale sistema si potrebbe adottare?
Le mail non sono identiche, ma ne sono state inviate
ad es 500 in un lasso di tempo di pochi minuti
con un testo spesso differente.

In secondo luogo, sarebbe in qualche modo possibile
capire da dove sono arrivate le mail anche in caso,
com'è questo, di contraffazione dell'indirizzo?

Negli header di queste mail leggo:

Codice: Seleziona tutto

Return-Path: <www-data@posta.provincia.venezia.it>
Received: from aa012mbs.fastweb.it (10.31.174.105) by cpmsbus812b.intranet.fw (8.5.113)
    id 4C8EA93C00152490 for segreteria@liceoxxx.it; Thu, 21 Oct 2010 11:01:28 + 02
Received: from posta.provincia.venezia.it (88.36.199.42) by aa012mbs.fastweb.it (8.5.016.6)
    id 4C5BD44309141C25 for segreteria@liceoxxx.it; Thu, 21 Oct 2010 11:01:28 + 02
Received: from localhost (localhost.localdomain [127.0.0.1])
    by posta.provincia.venezia.it (Postfix) with ESMTP id C3CA61628C5
    for <segreteria@liceoxxx.it> Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
Received: from posta.provincia.venezia.it ([127.0.0.1])
    by localhost (debian01.dmz.local[127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id 05158-12 for <segreteria@liceoxxx.it>;
    Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
Received: by posta.provincia.venezia.it (Postfix, from iserid 33)
    id 6584316273E;  Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
To: segreteria@liceoxxx.it
Subject: ????????
X-PHP-Script: http://www.liceoxxx.it/index.php for 193.200.150.82
From: nomefalso cognomefalso <indirizzofalso@dominiofalso>
Message-ID: <20101021082924.6584316273E@posta.provincia.venezia.it>
Data: Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
La scuola ha come provider fastweb e il sito è ospitato
dal server della provincia di venezia. È possibile che le mail
siano partite dall'interno del Liceo?

Grazie
M.

Re: Mail bombing

Inviato: sab 23 ott 2010, 11:44
da conraid
Da quell'header sembra che stiano usando anonymouse, bloccalo
Metti nello script un controllo dell'IP, e se è compreso in 193.200.150.0/24 lo blocchi
Io per manipolare IP uso questa classe
http://www.wolf-software.com/Downloads/ip_class/

Re: Mail bombing

Inviato: sab 23 ott 2010, 13:52
da samiel
Ma se ha usato anonymouse significa che ha scritto
una per una 500 mail? Che pazienza, e quanto tempo da perdere!

comunque ho scaricato la classe che mi hai segnalato.
Devo solo capire come si installa perché non ho mai aggiunto
cose del genere a quanto presente sul sistema...

Intanto vedo cosa riesco a combinare,
grazie
M.

Re: Mail bombing

Inviato: sab 23 ott 2010, 18:34
da conraid
no, può aver usato uno script
non conosco anonymouse, ma da quel che vedo è invocabile tramite url, quindi con curl immagino si possa fare tante belle cosine :-)

Non devi aggiungere niente al sistema, metti quella classe nel tuo script (o direttamente o tramite include) e la richiami con qualcosa tipo

Codice: Seleziona tutto

        if ($ip->ip_is_within_cidr($_SERVER['REMOTE_ADDR'], '193.200.150.0/24')) {
                header("Location: index.php");
        }
guarda la documentazione che ho scritto a memoria e potrei aver sbagliato

Ma puoi anche non usare php e mettere un blocco in .htaccess per esempio

Re: Mail bombing

Inviato: dom 24 ott 2010, 1:35
da samiel
Mi sono mandato una mail tramite anonymouse:

Codice: Seleziona tutto

IP del mittente: 217.203.176.133
Per cui non so cosa sia opportuno fare:
o blocco tutto... :-)

M.

PS
Ma una qualhe documentazione in lineo per ip_php
non sono proprio riuscito a trovarla...

Re: Mail bombing

Inviato: dom 24 ott 2010, 9:14
da hashbang
non uso spesso la posta elettronica quindi non se sia possibile farlo: Non si potrebbero etichettare come spam tutte quelle mail con mittente sconosciuto? Dove per sconosciuto si intende un mittente non presente nella lista contatti. Certo, se applicabile, è parecchio drastica come soluzione però può essere una soluzione-tampone.

Re: Mail bombing

Inviato: dom 24 ott 2010, 12:51
da samiel
No, non è possibile perché, ipotizziamo, il signor Rossi,
padre di un ragazzo di III media, il quale ovviamente
non ha mai scritto al Liceo e il cui indirizzo non è presente
nella lista contatti, scrive oggi una mail
chiedendo un'informazione alla scuola.
In quel caso verrebbe cestinato...

M.

Re: Mail bombing

Inviato: dom 24 ott 2010, 13:01
da conraid
samiel ha scritto:Mi sono mandato una mail tramite anonymouse:

Codice: Seleziona tutto

IP del mittente: 217.203.176.133
Per cui non so cosa sia opportuno fare:
o blocco tutto... :-)
questo è un IP di tim, non di anonymouse
Non so tu come l'abbia utilizzato il form, ma sembra che non sei riuscito nell'intento di nasconderti.

Ripeto, dal primo log, vedendo X-PHP-Script si vede che è partita da un indirizzo di anonymouse.org
samiel ha scritto: Ma una qualhe documentazione in lineo per ip_php
non sono proprio riuscito a trovarla...
Se parli della classe che ti ho detto io mi sembra di no, ma è una classe con qualche funzione, niente di che, e ci dovrebbe essere un file di esempio nel tar

Re: Mail bombing

Inviato: dom 24 ott 2010, 18:34
da samiel
Mi sono mandato delle mail da anonymouse,
ma gli headers sono differenti da quello del messaggio incriminato:

Codice: Seleziona tutto

Return-Path: <mixmaster@rip.ax.lt>
Original-Recipient: rfc822;adminsito@liceofranchetti.it
Received: from aa011msb.fastweb.it (10.31.174.104) by cpmsbus812b.intranet.fw (8.5.113)
        id 4C8EA93C0016972A for adminsito@liceofranchetti.it; Sun, 24 Oct 2010 14:24:16 +0200
Received: from rip.ax.lt (188.165.45.229) by aa011msb.fastweb.it (8.5.016.6)
        id 4CA350100388A13B for adminsito@liceofranchetti.it; Sun, 24 Oct 2010 14:24:16 +0200
Received: by rip.ax.lt (Postfix, from userid 111)
	id 373447FA2C; Sun, 24 Oct 2010 14:24:16 +0200 (CEST)
From: Anne Onime <anonymous@rip.ax.lt>
Comments: This message did not originate from the Sender address above.
	It was remailed automatically by anonymizing remailer software.
	Please report problems or inappropriate use to the
	remailer administrator at <abuse@rip.ax.lt>.
To: adminsito@liceofranchetti.it
Subject: prova anonymouse
Message-ID: <8869873e0da2220ff043046dccb5edfb@rip.ax.lt>
Date: Sun, 24 Oct 2010 14:24:16 +0200 (CEST)
Status: R
X-Status: N
X-KMail-EncryptionState:  
X-KMail-SignatureState:  
X-KMail-MDN-Sent:  
zxcvzxcv zxcvzxcvxz
Non so che pensare...
M.

Re: Mail bombing

Inviato: dom 24 ott 2010, 18:52
da conraid
Nel primo post hai parlato di form sul sito, controlli captchpa, etc... non di invio mail con un client mail.

Re: Mail bombing

Inviato: dom 24 ott 2010, 19:06
da samiel
Sì, forse sono stato troppo poco dettagliato.
Abbiamo 3 pagine con 3 diversi form (comunicazioni,
informazioni, richiesta certificati). E li ho già messo
dei controlli captcha. Poi abbiamom naturalmente
diverse mail: segreteria, presidenza, amministratore
del sito, e una casella di posta certificata.
Personalmente ritengo che gli attacchi non derivino
da uno spammer, ma in modo non automatico da un privato.
Ultimamamente sono arrivate 500 mail a uno
degli indirizzi di posta, dopo che erano arrivate ad es
centinaia di richieste di certificato. Per cui
pensavo, ammesso che i controlli captcha
limitino la voglia di fare questo genere di attacchi coi form,
se era in qualche modo possibile proteggere anche
la comunicazione via mail... Spero che adesso
si capisca meglio

M.

Re: Mail bombing

Inviato: dom 24 ott 2010, 19:31
da conraid
Nel primo post hai chiesto di sapere da dove sono arrivate quelle mail con quell'header. La risposta è "Da un form web nel tuo sito, a cui sono arrivati tramite anonymouse.org"

Codice: Seleziona tutto

X-PHP-Script: http://www.liceoxxx.it/index.php for 193.200.150.82
e no, non è possibile capire l'origine vera del mittente. E no, il controllo captcpha non ha bloccato la voglia di questi tizi.
Ti ho detto come farei io a bloccare quel particolare "proxy". Ma ce ne sono tanti in giro per il web.

Per le mail inviate in altro modo invece sì, sarebbe possibile, ma anche qui se usano qualche proxy vedi l'ip del proxy.
Usa, o fai usare visto che da quel che ho capito non hai gestione del server mail, controlli su blacklist, solitamente questi ip ci sono dentro.

Re: Mail bombing

Inviato: dom 24 ott 2010, 22:32
da samiel
E no, il controllo captcpha non ha bloccato la voglia di questi tizi.
Ti ho detto come farei io a bloccare quel particolare "proxy"
Il controllo captcha l'ho messo dopo, vediamo se prodice qualche risultato.
Per il blocco del proxy, adesso vedo cosa riesco a fare.

Per quanto riguarda le mail, parlo col tecnico di laboratorio
che ha il controllo del web server.

Grazie mille
Mauro

Re: Mail bombing

Inviato: mer 3 nov 2010, 10:47
da sbabaro
Se non avevi messo il captcpha con curl si può richiamare la pagina n volte in pochi momenti con uno script, come a ben detto conraid
Dopo aver messo il captcpha questo non dovrebbe più essere possibile

Re: Mail bombing

Inviato: gio 4 nov 2010, 1:07
da samiel
Adesso ho messo quel controllo in tutte e tre le pagine coi moduli.
E finora nessun nuovo "attacco",...

M.