Dove non arriva spamassassin arriva il reCAPTCHA

By
M0rF3uS
settembre 5, 2009Posted in: Linux, Server, Server Farm Stories, Web Server, antispam

Il tutto inizia diverse settimane fa quando mi vedo recapitare nella mia Inbox mail di questo genere:

 

To: morfeus@ilportalinux.it

Subject: QXwAQMKregOlCpIpiGj

Date: Thu, 3 Sep 2009 15:05:33 +0200

From: jonn3

 

che dentro il corpo contenevano un centinaio di link allo stesso dominio ma a pagine htm diverse.

All’inizio non ho dato tanto peso alla cosa perchè ne arrivava una ogni tanto, quindi pensai che si trattava solo di aspettare che l’antispam aggiornasse gli indici ed "imparasse" ad intercettare anche queste mail.

Giovedi però quando arrivai in ufficio, accesi il portatile, controllai le email e…BAM!!

53 email nella Inbox tutte in questo modo

La faccenda mi fece incazzare non poco anche perchè il tipo sembrava proprio aver preso di mira il mio indirizzo dato che ne continuavano ad arrivare altre con la media di 2/3 al minuto.

Mi misi ad analizzare i log ma stranamente non trovai un bel niente di quelle email; sembrava che non passassero dal mio server cosa impossibile per due motivi:

  1. Se arriva nella MIA inbox deve per forza passare dal mio server
  2. Sicuramente passa dal server perchè analizzando l’header della mail si vede come la mail nasce e muore dentro la mia macchina.

Questo significa che la mail veniva inizialmente spedita dal mio server, verso il mio stesso server. (E’ contorto il discorso ma non so spiegarlo meglio, immaginate che una mail venga mandata da account1@ilportalinux.it verso account2@ilportalinux.it, la mail rimane in locale perchè i due account risiedono dentro la stessa macchina).

Ma ciò non era possibile perchè l’account mittente nella mail era "email@gmail.com", mi viene da pensare allora che il software utilizzato per spedirla (phpmailer come si vede dall’header) non sia altro che uno script php del ca$$o che fa telnet sul mio server e mandi tutti i comandi smtp per generare la mail.

Sfortunatamente le sessioni telnet non vengono loggate, ma anche questa teoria non reggeva perchè se fosse stato utilizzato il telnet io nei log di postfix avrei dovuto vedere quantomeno le "connect" dall’indirizzo della macchina che aveva in esecuzione phpmailer, ed invece nulla….

Però analizzando con più attenzione i log notai un sacco di invii di mail da parte di www-data che è l’utenza del webserver non sapendo più cosa pensare mi venne in mente che forse lighttpd avesse qualche bug, ma niente, nessuna traccia di bug da nessuna parte.

Decisi di mollare il colpo e cercare di studiare una soluzione più tardi, solo che in 5 minuti mi arrivarono un altra decina di mail e quindi dall’incazzato passai all’imbufalito; e proprio quando meno me l’aspettavo arrivò il lampo di genio…

Presi la mail e la aprii per consultarne il codice sorgente e notai questo:

Message-ID: <bdeb090c880e38ee4047e2bc02aa8238@www.ilportalinux.it

ogni mail server infatti associa ad ogni mail che circola dentro di esso un ID unico ed univoco. Cercando quell’id nei log trovai…

kratos:/var/log# zgrep "bdeb090c880e38ee4047e2bc02aa8238" mail.log*gz

mail.log.1.gz:Sep 3 15:05:35 kratos amavis[28384]: (28384-03) Passed CLEAN, <www-data@mail.logubuntu.it> -> <morfeus@ilportalinux.it>, Message-ID: <bdeb090c880e38ee4047e2bc02aa8238@www.ilportalinux.it>, mail_id: Bwd+PRhHMqRc, Hits: -5.632, size: 4397, queued_as: 8DCBB1780002, 1592 ms

ed infatti l’orario coincideva con l’arrivo della mail maledetta. Adesso avevo la certezza assoluta che era qualcosa sul webserver a dare lo strumento allo script kiddie di inviare tutto quello spam.

Trasferendomi nei log del webserver infatti capii subito da dove partivano…

kratos:/var/log/lighttpd/ilportalinux# fgrep -ri "03/Sep/2009:15:05" *

[...cut...]

access.log:88.198.52.232 www.ilportalinux.it – [03/Sep/2009:15:05:34 +0200] "POST /contattaci HTTP/1.1" 200 47094 "http://www.ilportalinux.it/contattaci" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

tracciando quell’ip vidi che le chiamate alla pagina contattaci erano fatte in maniera diretta senza passare dalla home o visitare prima altre pagine come un qualsiasi altro visitatore inoltre, come scritto qui sopra, i dati venivano passati subito tramite POST.

La conferma definitiva la ebbi cercando quell’ip nei log, tutti gli accessi li fece nella pagina "contattaci" e non mi misi a contarli perchè oramai ne ero sicuro.

La pagina di contatto di questo blog infatti era un semplice form che bastava compilare (si lo so sono un deficiente io che non ho protetto la pagina).

Con una rapida ricerchina su goorgle ho trovato la soluzione: il plugin "Deko Boko" che consente di creare un form di contatto protetto da un challenge reCAPTCHA, installato ed attivato, magicamente le mail di spam hanno cessato di esistere :D
0
votato
www.wikio.it

Altri articoli che potrebbero interessarti

Sfoghi da sysadmin Giornata tipo (quindi al limite tra sanità e pazzia) in ufficio, casca una mail sulla Inbox inviata...
spamassassin & amavis, recapitiamo lo spam nella cartella posta indesiderata con postfix (debian etch) Con la guida all'installazione di postfix, pubblicata un pò di tempo fa, installiamo a tutti gli effetti...
La prossima volta impari a farti i ca$$i tuoi… E' da diversi giorni che dal punto di vista sistemistico c'è veramente poco da fare, più...
Microsoft: ti licenzio e tu mi devi pagare La crisi economica c'è, è evidente, e non possiamo negarlo. E colpisce tutti senza distizione,...
Click..click..click…OH CA$$O!!! Ed avete presente anche quando siete li belli concentrati che lavorate su una roba, ad un certo punto...
Tags: , , , , , , , , , , , , , , , , , , , ,

About the Author

M0rF3uS al secolo Alex è un ggiovine 25enne appassionato di informatica e linux. Lavora come Network and System Administrator e nel tempo libero gioca un pò con la sua fotocamera (Canon EOS 1000D) riuscendo a volte, per sbaglio, a fare qualche scatto decente. Completano il corredo, degli hobbies "vorrei ma non posso" ossia l'astronomia e l'astronautica....si è uno di quelli che da grande vorrebbe fare l'astronauta (povero coglione vero?).