sslug-teknik team mailing list archive

Thread
Date

spam fra linux RedHat boxe !!!

To: sslug-teknik@xxxxxxxx
From: "Marc Cromme" <marc@xxxxxxxxx>
Date: Sat, 22 Feb 2003 17:15:13 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Pan/0.13.0 (The whole remains beautiful (Debian GNU/Linux))

Hej Rødder - 
jeg bliver daglig spammet af dubiøse sex og penge tilbud fra

 --*--     Linux RedHat boxe   --*--

og jeg er ret træt af det. Hver dag kommer det fra en anden site.
Dagens høst var breve fra maskinen secondmore.com. Skanner man den, finder
man ud af at de alle kører en Linux med ssh, mysql og http kørende, at de
alle har RedHat's "prøvebillede" installeret i web serverens root dir
"index.html", og at der er oprettet direktorier på web serveren hvis
exakte sti kun står i spam mailene.

Mit gæt er at folk uden forstand på det installerer RedHat servere på faste
IP adresser "bare for sjov", og bliver hakket via mysql porten, uden
nogensinde at have opdaget det, fordi de ikke bruger hverken det ene eller
det andet til noget fornuftig.

Så meddelesen er tofoldig:

1) aldrig, aldrig installer servere på faste adresser men mindre du
vitterlig har brug for dem, passer dem, opgraderer, og lukker
sikkerhedshul - mange tak!

2) Hvordan får jeg dæmmet ind for disse spam mails, således at jeg ikke
bliver oversvømmet af dem?

Jeg har prøvet at bruge evolutions filter på dem, men da både subject og
afsender skifter hyppigt, kan jeg ikke få ram på dem på denne måde.

Jeg har brug for et værktøj, der kan lave regex på selve indholdet. Kender
I sådan noget?
 
Desuden er der jo problematikken at min mail box ligger hos azero.dk, og
ikke på en server jeg selv adminstrerer. Så jeg er nød til at ty til
filtre hos mail-klienter.

Eller er der nogen der har en bedre ide?



Mange hilsen, Marc Cromme
 







chiron:/home/marc# nmap -O -P0 secondmore.com

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
caught SIGINT signal, cleaning up
chiron:/home/marc# nmap -O -P0 -v secondmore.com

Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
No tcp,udp, or ICMP scantype specified, 
assuming SYN Stealth scan. Use -sP if you really don't 
want to portscan (and just want to see what hosts are up).
Host  (203.22.104.12) appears to be up ... good.
Initiating SYN Stealth Scan against  (203.22.104.12)
Adding open port 80/tcp
Adding open port 22/tcp
Adding open port 3306/tcp
The SYN Stealth Scan took 10 seconds to scan 1601 ports.
For OSScan assuming that port 22 is open and port 1 
is closed and neither are firewalled
Interesting ports on  (203.22.104.12):
(The 1598 ports scanned but not shown below are in state: closed)
Port       State       Service
22/tcp     open        ssh                     
80/tcp     open        http                    
3306/tcp   open        mysql                   
Remote OS guesses: Linux Kernel 2.4.0 - 2.5.20, 
Linux 2.4.19-pre4 on Alpha
TCP Sequence Prediction: Class=random positive increments
                         Difficulty=2098693 (Good luck!)
IPID Sequence Generation: All zeros

Nmap run completed -- 1 IP address (1 host up) scanned in 15 seconds

Follow ups

Re: spam fra linux RedHat boxe !!!
From: Mads Bondo Dydensborg, 2003-02-25
Re: spam fra linux RedHat boxe !!!
From: Jon Svejgaard, 2003-02-22