sslug-teknik team mailing list archive

[Mogens Kjaer <mk@xxxxxx>]

Ricco Jensen wrote:
> Mener du man snyder med ip nr eller med selve FormMail. ?

"referer" er en streng, som browseren sender. Spammerne
bruger et snyde-program, som bare sætter en falsk referer streng
ind.

> Hvad er det jeg skal kikke efter i maillogen hvis jeg vil se de scanner for
> FromMail ?

Scanningen kan du se i webloggen (her er tre eksempler):

fgrep -i formmail /var/log/httpd/access_log
200.246.46.189 - - [11/Feb/2003:10:37:33 +0100] "GET 
/cgi-bin/formmail.pl HTTP/1.0" 200 396535 "http://www.crc.dk/"; "-"
63.214.252.57 - - [11/Feb/2003:23:42:43 +0100] "POST 
/cgi-local/FormMail.cgi HTTP/1.1" 404 295 "-" "Mozilla/4.06 (Win95; I)"
198.138.86.134 - - [09/Feb/2003:10:14:51 +0100] "GET 
/cgi-bin/FormMail.cgi?email=rockstar@xxxxxxxx&realname=rockstar@xxxxxxxx&recipient=qbsfinestnas20@xxxxxxxxx&subject=www.crc.dk/cgi-bin/FormMail.cgi 
HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


Du kan ikke umiddelbart skelne en scanning fra en
reel bruger.

Vi har 19 af den slags linier bare i perioden 10-15 februar, og
287 fra 1. januar til 9 februar.

Den første af de tre har netop brugt en falsk referer; referer
strengen er den næstsidste tekststreng i min log.

Han har dog stoppet efter ca. 400Kbytes spam-tabel :-)

Den sidste linie er typisk: Hvis der er åbent, sendes en mail
til qbsfinestnas20@xxxxxxxxx med subject lig med URL til
åben formmail. Måske burde man DoS'e sådan en mail adresse
med falske URL'er...

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@xxxxxx Homepage: http://www.crc.dk