Repository 32bit  Forum
Repository 64bit  Wiki

Mail bombing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Mail bombing

Messaggioda samiel » sab ott 23, 2010 1:40

Nella mia scuola abbiamo avuto alcuni attacchi di mail bombing.
Nei form del sito ho messo un controllo captcha,
ma le mail sono - e ovviamente devono restare - pubbliche.
Quale sistema si potrebbe adottare?
Le mail non sono identiche, ma ne sono state inviate
ad es 500 in un lasso di tempo di pochi minuti
con un testo spesso differente.

In secondo luogo, sarebbe in qualche modo possibile
capire da dove sono arrivate le mail anche in caso,
com'è questo, di contraffazione dell'indirizzo?

Negli header di queste mail leggo:
Codice: Seleziona tutto
Return-Path: <www-data@posta.provincia.venezia.it>
Received: from aa012mbs.fastweb.it (10.31.174.105) by cpmsbus812b.intranet.fw (8.5.113)
    id 4C8EA93C00152490 for segreteria@liceoxxx.it; Thu, 21 Oct 2010 11:01:28 + 02
Received: from posta.provincia.venezia.it (88.36.199.42) by aa012mbs.fastweb.it (8.5.016.6)
    id 4C5BD44309141C25 for segreteria@liceoxxx.it; Thu, 21 Oct 2010 11:01:28 + 02
Received: from localhost (localhost.localdomain [127.0.0.1])
    by posta.provincia.venezia.it (Postfix) with ESMTP id C3CA61628C5
    for <segreteria@liceoxxx.it> Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
Received: from posta.provincia.venezia.it ([127.0.0.1])
    by localhost (debian01.dmz.local[127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id 05158-12 for <segreteria@liceoxxx.it>;
    Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
Received: by posta.provincia.venezia.it (Postfix, from iserid 33)
    id 6584316273E;  Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
To: segreteria@liceoxxx.it
Subject: ????????
X-PHP-Script: http://www.liceoxxx.it/index.php for 193.200.150.82
From: nomefalso cognomefalso <indirizzofalso@dominiofalso>
Message-ID: <20101021082924.6584316273E@posta.provincia.venezia.it>
Data: Thu, 21 Oct 2010 10:29:24 + 02 (CEST)

La scuola ha come provider fastweb e il sito è ospitato
dal server della provincia di venezia. È possibile che le mail
siano partite dall'interno del Liceo?

Grazie
M.
samiel
Staff
Staff
 
Messaggi: 5500
Iscritto il: ven gen 16, 2004 0:00
Località: Venezia
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian

Re: Mail bombing

Messaggioda conraid » sab ott 23, 2010 10:44

Da quell'header sembra che stiano usando anonymouse, bloccalo
Metti nello script un controllo dell'IP, e se è compreso in 193.200.150.0/24 lo blocchi
Io per manipolare IP uso questa classe
http://www.wolf-software.com/Downloads/ip_class/
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12001
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Mail bombing

Messaggioda samiel » sab ott 23, 2010 12:52

Ma se ha usato anonymouse significa che ha scritto
una per una 500 mail? Che pazienza, e quanto tempo da perdere!

comunque ho scaricato la classe che mi hai segnalato.
Devo solo capire come si installa perché non ho mai aggiunto
cose del genere a quanto presente sul sistema...

Intanto vedo cosa riesco a combinare,
grazie
M.
samiel
Staff
Staff
 
Messaggi: 5500
Iscritto il: ven gen 16, 2004 0:00
Località: Venezia
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian

Re: Mail bombing

Messaggioda conraid » sab ott 23, 2010 17:34

no, può aver usato uno script
non conosco anonymouse, ma da quel che vedo è invocabile tramite url, quindi con curl immagino si possa fare tante belle cosine :-)

Non devi aggiungere niente al sistema, metti quella classe nel tuo script (o direttamente o tramite include) e la richiami con qualcosa tipo


Codice: Seleziona tutto
        if ($ip->ip_is_within_cidr($_SERVER['REMOTE_ADDR'], '193.200.150.0/24')) {
                header("Location: index.php");
        }


guarda la documentazione che ho scritto a memoria e potrei aver sbagliato

Ma puoi anche non usare php e mettere un blocco in .htaccess per esempio
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12001
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Mail bombing

Messaggioda samiel » dom ott 24, 2010 0:35

Mi sono mandato una mail tramite anonymouse:
Codice: Seleziona tutto
IP del mittente: 217.203.176.133

Per cui non so cosa sia opportuno fare:
o blocco tutto... :-)

M.

PS
Ma una qualhe documentazione in lineo per ip_php
non sono proprio riuscito a trovarla...
samiel
Staff
Staff
 
Messaggi: 5500
Iscritto il: ven gen 16, 2004 0:00
Località: Venezia
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian

Re: Mail bombing

Messaggioda hashbang » dom ott 24, 2010 8:14

non uso spesso la posta elettronica quindi non se sia possibile farlo: Non si potrebbero etichettare come spam tutte quelle mail con mittente sconosciuto? Dove per sconosciuto si intende un mittente non presente nella lista contatti. Certo, se applicabile, è parecchio drastica come soluzione però può essere una soluzione-tampone.
Adoro il pragmatismo della lingua giapponese, è l'unica in cui per dire ad una ragazza che la ami le dici "suki". (cit.)
Avatar utente
hashbang
Packager
Packager
 
Messaggi: 1830
Iscritto il: ven giu 04, 2010 9:27
Località: Lecce
Nome Cognome: Luca De Pandis
Distribuzione: Windows 8.1 Pro

Re: Mail bombing

Messaggioda samiel » dom ott 24, 2010 11:51

No, non è possibile perché, ipotizziamo, il signor Rossi,
padre di un ragazzo di III media, il quale ovviamente
non ha mai scritto al Liceo e il cui indirizzo non è presente
nella lista contatti, scrive oggi una mail
chiedendo un'informazione alla scuola.
In quel caso verrebbe cestinato...

M.
samiel
Staff
Staff
 
Messaggi: 5500
Iscritto il: ven gen 16, 2004 0:00
Località: Venezia
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian

Re: Mail bombing

Messaggioda conraid » dom ott 24, 2010 12:01

samiel ha scritto:Mi sono mandato una mail tramite anonymouse:
Codice: Seleziona tutto
IP del mittente: 217.203.176.133

Per cui non so cosa sia opportuno fare:
o blocco tutto... :-)


questo è un IP di tim, non di anonymouse
Non so tu come l'abbia utilizzato il form, ma sembra che non sei riuscito nell'intento di nasconderti.

Ripeto, dal primo log, vedendo X-PHP-Script si vede che è partita da un indirizzo di anonymouse.org

samiel ha scritto:Ma una qualhe documentazione in lineo per ip_php
non sono proprio riuscito a trovarla...


Se parli della classe che ti ho detto io mi sembra di no, ma è una classe con qualche funzione, niente di che, e ci dovrebbe essere un file di esempio nel tar
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12001
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Mail bombing

Messaggioda samiel » dom ott 24, 2010 17:34

Mi sono mandato delle mail da anonymouse,
ma gli headers sono differenti da quello del messaggio incriminato:
Codice: Seleziona tutto
Return-Path: <mixmaster@rip.ax.lt>
Original-Recipient: rfc822;adminsito@liceofranchetti.it
Received: from aa011msb.fastweb.it (10.31.174.104) by cpmsbus812b.intranet.fw (8.5.113)
        id 4C8EA93C0016972A for adminsito@liceofranchetti.it; Sun, 24 Oct 2010 14:24:16 +0200
Received: from rip.ax.lt (188.165.45.229) by aa011msb.fastweb.it (8.5.016.6)
        id 4CA350100388A13B for adminsito@liceofranchetti.it; Sun, 24 Oct 2010 14:24:16 +0200
Received: by rip.ax.lt (Postfix, from userid 111)
   id 373447FA2C; Sun, 24 Oct 2010 14:24:16 +0200 (CEST)
From: Anne Onime <anonymous@rip.ax.lt>
Comments: This message did not originate from the Sender address above.
   It was remailed automatically by anonymizing remailer software.
   Please report problems or inappropriate use to the
   remailer administrator at <abuse@rip.ax.lt>.
To: adminsito@liceofranchetti.it
Subject: prova anonymouse
Message-ID: <8869873e0da2220ff043046dccb5edfb@rip.ax.lt>
Date: Sun, 24 Oct 2010 14:24:16 +0200 (CEST)
Status: R
X-Status: N
X-KMail-EncryptionState: 
X-KMail-SignatureState: 
X-KMail-MDN-Sent: 
zxcvzxcv zxcvzxcvxz

Non so che pensare...
M.
samiel
Staff
Staff
 
Messaggi: 5500
Iscritto il: ven gen 16, 2004 0:00
Località: Venezia
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian

Re: Mail bombing

Messaggioda conraid » dom ott 24, 2010 17:52

Nel primo post hai parlato di form sul sito, controlli captchpa, etc... non di invio mail con un client mail.
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12001
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Mail bombing

Messaggioda samiel » dom ott 24, 2010 18:06

Sì, forse sono stato troppo poco dettagliato.
Abbiamo 3 pagine con 3 diversi form (comunicazioni,
informazioni, richiesta certificati). E li ho già messo
dei controlli captcha. Poi abbiamom naturalmente
diverse mail: segreteria, presidenza, amministratore
del sito, e una casella di posta certificata.
Personalmente ritengo che gli attacchi non derivino
da uno spammer, ma in modo non automatico da un privato.
Ultimamamente sono arrivate 500 mail a uno
degli indirizzi di posta, dopo che erano arrivate ad es
centinaia di richieste di certificato. Per cui
pensavo, ammesso che i controlli captcha
limitino la voglia di fare questo genere di attacchi coi form,
se era in qualche modo possibile proteggere anche
la comunicazione via mail... Spero che adesso
si capisca meglio

M.
samiel
Staff
Staff
 
Messaggi: 5500
Iscritto il: ven gen 16, 2004 0:00
Località: Venezia
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian

Re: Mail bombing

Messaggioda conraid » dom ott 24, 2010 18:31

Nel primo post hai chiesto di sapere da dove sono arrivate quelle mail con quell'header. La risposta è "Da un form web nel tuo sito, a cui sono arrivati tramite anonymouse.org"
Codice: Seleziona tutto
X-PHP-Script: http://www.liceoxxx.it/index.php for 193.200.150.82

e no, non è possibile capire l'origine vera del mittente. E no, il controllo captcpha non ha bloccato la voglia di questi tizi.
Ti ho detto come farei io a bloccare quel particolare "proxy". Ma ce ne sono tanti in giro per il web.

Per le mail inviate in altro modo invece sì, sarebbe possibile, ma anche qui se usano qualche proxy vedi l'ip del proxy.
Usa, o fai usare visto che da quel che ho capito non hai gestione del server mail, controlli su blacklist, solitamente questi ip ci sono dentro.
Avatar utente
conraid
Staff
Staff
 
Messaggi: 12001
Iscritto il: mer lug 13, 2005 23:00
Località: Livorno
Nome Cognome: Corrado Franco
Slackware: current

Re: Mail bombing

Messaggioda samiel » dom ott 24, 2010 21:32

E no, il controllo captcpha non ha bloccato la voglia di questi tizi.
Ti ho detto come farei io a bloccare quel particolare "proxy"

Il controllo captcha l'ho messo dopo, vediamo se prodice qualche risultato.
Per il blocco del proxy, adesso vedo cosa riesco a fare.

Per quanto riguarda le mail, parlo col tecnico di laboratorio
che ha il controllo del web server.

Grazie mille
Mauro
samiel
Staff
Staff
 
Messaggi: 5500
Iscritto il: ven gen 16, 2004 0:00
Località: Venezia
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian

Re: Mail bombing

Messaggioda sbabaro » mer nov 03, 2010 10:47

Se non avevi messo il captcpha con curl si può richiamare la pagina n volte in pochi momenti con uno script, come a ben detto conraid
Dopo aver messo il captcpha questo non dovrebbe più essere possibile
sbabaro
Packager
Packager
 
Messaggi: 388
Iscritto il: gio set 08, 2005 23:00
Slackware: slack 12.1
Kernel: 2.6.26 ricompilato
Desktop: gslacky

Re: Mail bombing

Messaggioda samiel » gio nov 04, 2010 1:07

Adesso ho messo quel controllo in tutte e tre le pagine coi moduli.
E finora nessun nuovo "attacco",...

M.
samiel
Staff
Staff
 
Messaggi: 5500
Iscritto il: ven gen 16, 2004 0:00
Località: Venezia
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti