Mail bombing

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Rispondi
samiel
Staff
Staff
Messaggi: 5511
Iscritto il: ven 16 gen 2004, 0:00
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian
Località: Venezia

Mail bombing

Messaggio da samiel »

Nella mia scuola abbiamo avuto alcuni attacchi di mail bombing.
Nei form del sito ho messo un controllo captcha,
ma le mail sono - e ovviamente devono restare - pubbliche.
Quale sistema si potrebbe adottare?
Le mail non sono identiche, ma ne sono state inviate
ad es 500 in un lasso di tempo di pochi minuti
con un testo spesso differente.

In secondo luogo, sarebbe in qualche modo possibile
capire da dove sono arrivate le mail anche in caso,
com'è questo, di contraffazione dell'indirizzo?

Negli header di queste mail leggo:

Codice: Seleziona tutto

Return-Path: <www-data@posta.provincia.venezia.it>
Received: from aa012mbs.fastweb.it (10.31.174.105) by cpmsbus812b.intranet.fw (8.5.113)
    id 4C8EA93C00152490 for segreteria@liceoxxx.it; Thu, 21 Oct 2010 11:01:28 + 02
Received: from posta.provincia.venezia.it (88.36.199.42) by aa012mbs.fastweb.it (8.5.016.6)
    id 4C5BD44309141C25 for segreteria@liceoxxx.it; Thu, 21 Oct 2010 11:01:28 + 02
Received: from localhost (localhost.localdomain [127.0.0.1])
    by posta.provincia.venezia.it (Postfix) with ESMTP id C3CA61628C5
    for <segreteria@liceoxxx.it> Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
Received: from posta.provincia.venezia.it ([127.0.0.1])
    by localhost (debian01.dmz.local[127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id 05158-12 for <segreteria@liceoxxx.it>;
    Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
Received: by posta.provincia.venezia.it (Postfix, from iserid 33)
    id 6584316273E;  Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
To: segreteria@liceoxxx.it
Subject: ????????
X-PHP-Script: http://www.liceoxxx.it/index.php for 193.200.150.82
From: nomefalso cognomefalso <indirizzofalso@dominiofalso>
Message-ID: <20101021082924.6584316273E@posta.provincia.venezia.it>
Data: Thu, 21 Oct 2010 10:29:24 + 02 (CEST)
La scuola ha come provider fastweb e il sito è ospitato
dal server della provincia di venezia. È possibile che le mail
siano partite dall'interno del Liceo?

Grazie
M.

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Mail bombing

Messaggio da conraid »

Da quell'header sembra che stiano usando anonymouse, bloccalo
Metti nello script un controllo dell'IP, e se è compreso in 193.200.150.0/24 lo blocchi
Io per manipolare IP uso questa classe
http://www.wolf-software.com/Downloads/ip_class/

samiel
Staff
Staff
Messaggi: 5511
Iscritto il: ven 16 gen 2004, 0:00
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian
Località: Venezia

Re: Mail bombing

Messaggio da samiel »

Ma se ha usato anonymouse significa che ha scritto
una per una 500 mail? Che pazienza, e quanto tempo da perdere!

comunque ho scaricato la classe che mi hai segnalato.
Devo solo capire come si installa perché non ho mai aggiunto
cose del genere a quanto presente sul sistema...

Intanto vedo cosa riesco a combinare,
grazie
M.

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Mail bombing

Messaggio da conraid »

no, può aver usato uno script
non conosco anonymouse, ma da quel che vedo è invocabile tramite url, quindi con curl immagino si possa fare tante belle cosine :-)

Non devi aggiungere niente al sistema, metti quella classe nel tuo script (o direttamente o tramite include) e la richiami con qualcosa tipo

Codice: Seleziona tutto

        if ($ip->ip_is_within_cidr($_SERVER['REMOTE_ADDR'], '193.200.150.0/24')) {
                header("Location: index.php");
        }
guarda la documentazione che ho scritto a memoria e potrei aver sbagliato

Ma puoi anche non usare php e mettere un blocco in .htaccess per esempio

samiel
Staff
Staff
Messaggi: 5511
Iscritto il: ven 16 gen 2004, 0:00
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian
Località: Venezia

Re: Mail bombing

Messaggio da samiel »

Mi sono mandato una mail tramite anonymouse:

Codice: Seleziona tutto

IP del mittente: 217.203.176.133
Per cui non so cosa sia opportuno fare:
o blocco tutto... :-)

M.

PS
Ma una qualhe documentazione in lineo per ip_php
non sono proprio riuscito a trovarla...

hashbang
Packager
Packager
Messaggi: 2020
Iscritto il: ven 4 giu 2010, 10:27
Nome Cognome: Luca De Pandis
Distribuzione: macOS/OpenBSD
Località: Lecce/Bergamo

Re: Mail bombing

Messaggio da hashbang »

non uso spesso la posta elettronica quindi non se sia possibile farlo: Non si potrebbero etichettare come spam tutte quelle mail con mittente sconosciuto? Dove per sconosciuto si intende un mittente non presente nella lista contatti. Certo, se applicabile, è parecchio drastica come soluzione però può essere una soluzione-tampone.

samiel
Staff
Staff
Messaggi: 5511
Iscritto il: ven 16 gen 2004, 0:00
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian
Località: Venezia

Re: Mail bombing

Messaggio da samiel »

No, non è possibile perché, ipotizziamo, il signor Rossi,
padre di un ragazzo di III media, il quale ovviamente
non ha mai scritto al Liceo e il cui indirizzo non è presente
nella lista contatti, scrive oggi una mail
chiedendo un'informazione alla scuola.
In quel caso verrebbe cestinato...

M.

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Mail bombing

Messaggio da conraid »

samiel ha scritto:Mi sono mandato una mail tramite anonymouse:

Codice: Seleziona tutto

IP del mittente: 217.203.176.133
Per cui non so cosa sia opportuno fare:
o blocco tutto... :-)
questo è un IP di tim, non di anonymouse
Non so tu come l'abbia utilizzato il form, ma sembra che non sei riuscito nell'intento di nasconderti.

Ripeto, dal primo log, vedendo X-PHP-Script si vede che è partita da un indirizzo di anonymouse.org
samiel ha scritto: Ma una qualhe documentazione in lineo per ip_php
non sono proprio riuscito a trovarla...
Se parli della classe che ti ho detto io mi sembra di no, ma è una classe con qualche funzione, niente di che, e ci dovrebbe essere un file di esempio nel tar

samiel
Staff
Staff
Messaggi: 5511
Iscritto il: ven 16 gen 2004, 0:00
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian
Località: Venezia

Re: Mail bombing

Messaggio da samiel »

Mi sono mandato delle mail da anonymouse,
ma gli headers sono differenti da quello del messaggio incriminato:

Codice: Seleziona tutto

Return-Path: <mixmaster@rip.ax.lt>
Original-Recipient: rfc822;adminsito@liceofranchetti.it
Received: from aa011msb.fastweb.it (10.31.174.104) by cpmsbus812b.intranet.fw (8.5.113)
        id 4C8EA93C0016972A for adminsito@liceofranchetti.it; Sun, 24 Oct 2010 14:24:16 +0200
Received: from rip.ax.lt (188.165.45.229) by aa011msb.fastweb.it (8.5.016.6)
        id 4CA350100388A13B for adminsito@liceofranchetti.it; Sun, 24 Oct 2010 14:24:16 +0200
Received: by rip.ax.lt (Postfix, from userid 111)
	id 373447FA2C; Sun, 24 Oct 2010 14:24:16 +0200 (CEST)
From: Anne Onime <anonymous@rip.ax.lt>
Comments: This message did not originate from the Sender address above.
	It was remailed automatically by anonymizing remailer software.
	Please report problems or inappropriate use to the
	remailer administrator at <abuse@rip.ax.lt>.
To: adminsito@liceofranchetti.it
Subject: prova anonymouse
Message-ID: <8869873e0da2220ff043046dccb5edfb@rip.ax.lt>
Date: Sun, 24 Oct 2010 14:24:16 +0200 (CEST)
Status: R
X-Status: N
X-KMail-EncryptionState:  
X-KMail-SignatureState:  
X-KMail-MDN-Sent:  
zxcvzxcv zxcvzxcvxz
Non so che pensare...
M.

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Mail bombing

Messaggio da conraid »

Nel primo post hai parlato di form sul sito, controlli captchpa, etc... non di invio mail con un client mail.

samiel
Staff
Staff
Messaggi: 5511
Iscritto il: ven 16 gen 2004, 0:00
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian
Località: Venezia

Re: Mail bombing

Messaggio da samiel »

Sì, forse sono stato troppo poco dettagliato.
Abbiamo 3 pagine con 3 diversi form (comunicazioni,
informazioni, richiesta certificati). E li ho già messo
dei controlli captcha. Poi abbiamom naturalmente
diverse mail: segreteria, presidenza, amministratore
del sito, e una casella di posta certificata.
Personalmente ritengo che gli attacchi non derivino
da uno spammer, ma in modo non automatico da un privato.
Ultimamamente sono arrivate 500 mail a uno
degli indirizzi di posta, dopo che erano arrivate ad es
centinaia di richieste di certificato. Per cui
pensavo, ammesso che i controlli captcha
limitino la voglia di fare questo genere di attacchi coi form,
se era in qualche modo possibile proteggere anche
la comunicazione via mail... Spero che adesso
si capisca meglio

M.

Avatar utente
conraid
Staff
Staff
Messaggi: 13630
Iscritto il: gio 14 lug 2005, 0:00
Nome Cognome: Corrado Franco
Slackware: current64
Desktop: kde
Località: Livorno
Contatta:

Re: Mail bombing

Messaggio da conraid »

Nel primo post hai chiesto di sapere da dove sono arrivate quelle mail con quell'header. La risposta è "Da un form web nel tuo sito, a cui sono arrivati tramite anonymouse.org"

Codice: Seleziona tutto

X-PHP-Script: http://www.liceoxxx.it/index.php for 193.200.150.82
e no, non è possibile capire l'origine vera del mittente. E no, il controllo captcpha non ha bloccato la voglia di questi tizi.
Ti ho detto come farei io a bloccare quel particolare "proxy". Ma ce ne sono tanti in giro per il web.

Per le mail inviate in altro modo invece sì, sarebbe possibile, ma anche qui se usano qualche proxy vedi l'ip del proxy.
Usa, o fai usare visto che da quel che ho capito non hai gestione del server mail, controlli su blacklist, solitamente questi ip ci sono dentro.

samiel
Staff
Staff
Messaggi: 5511
Iscritto il: ven 16 gen 2004, 0:00
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian
Località: Venezia

Re: Mail bombing

Messaggio da samiel »

E no, il controllo captcpha non ha bloccato la voglia di questi tizi.
Ti ho detto come farei io a bloccare quel particolare "proxy"
Il controllo captcha l'ho messo dopo, vediamo se prodice qualche risultato.
Per il blocco del proxy, adesso vedo cosa riesco a fare.

Per quanto riguarda le mail, parlo col tecnico di laboratorio
che ha il controllo del web server.

Grazie mille
Mauro

sbabaro
Packager
Packager
Messaggi: 388
Iscritto il: ven 9 set 2005, 0:00
Slackware: slack 12.1
Kernel: 2.6.26 ricompilato
Desktop: gslacky

Re: Mail bombing

Messaggio da sbabaro »

Se non avevi messo il captcpha con curl si può richiamare la pagina n volte in pochi momenti con uno script, come a ben detto conraid
Dopo aver messo il captcpha questo non dovrebbe più essere possibile

samiel
Staff
Staff
Messaggi: 5511
Iscritto il: ven 16 gen 2004, 0:00
Nome Cognome: Mauro Sacchetto
Slackware: 13.0
Kernel: 2.26
Desktop: KDE
Distribuzione: anche Debian
Località: Venezia

Re: Mail bombing

Messaggio da samiel »

Adesso ho messo quel controllo in tutte e tre le pagine coi moduli.
E finora nessun nuovo "attacco",...

M.

Rispondi