Seltsamer Spam

Rund um die Sicherheit des Systems und die Applikationen
static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Seltsamer Spam

Post by static » 2007-01-23 19:17

Hi
Seit einigen Tagen habe ich einen neuen Server und habe seltsame Spamversuche im Log.

Hier ein Beispiel:

Code: Select all

2007-01-23 18:26:24 rejected EHLO from mail.gulfintl.ae [195.229.226.193]: syntactically invalid argument(s): GULFINT_NT.gulfint1.local
2007-01-23 18:26:24 rejected HELO from mail.gulfintl.ae [195.229.226.193]: syntactically invalid argument(s): GULFINT_NT.gulfint1.local
2007-01-23 18:33:34 rejected EHLO from bfs.mlgd.labyrinth.net [63.66.160.47]: syntactically invalid argument(s): bfs_exchange.bfsfoods.local
2007-01-23 18:33:35 rejected HELO from bfs.mlgd.labyrinth.net [63.66.160.47]: syntactically invalid argument(s): bfs_exchange.bfsfoods.local
Eben so:

Code: Select all

2007-01-23 15:19:39 H=esc17.midphase.com [66.225.254.29] F=<> rejected RCPT <retmeiendomaindut@meinedomain.com>: Unrouteable address
Soweit nichts ungewöhnliches, was mir aber seltsam vorkommt, ist dass diese Versuche extrem hartnäckig sind. Die oberen habe ich in den letzten 2 Tagen etwa 500 mal bekommen - laut log alle 15 Minuten je 2 Versuche.

Die unteren sogar 3700 mal, jedoch von unterschiedlichsten Hosts.
Ist diese Beständigkeit noch normal? Ich kanns mir fast nicht mehr vorstellen... Hat jemand eine Idee woher das kommen könnte?
Vor dem Serverwechsel hatte ich die üblichen Spamversuche, aber niemals so oft die gleichen Versuche... Oder hängt das mit irgendwelchen aktuellen Viren/Würmern zusammen?

Wäre für jede Idee dankbar.

static

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Seltsamer Spam

Post by Roger Wilco » 2007-01-23 19:21

static wrote:Die unteren sogar 3700 mal, jedoch von unterschiedlichsten Hosts.
Ist diese Beständigkeit noch normal? Ich kanns mir fast nicht mehr vorstellen... Hat jemand eine Idee woher das kommen könnte?
Meine Vermutung ist, dass da jemand ein kleines Botnetz gemietet hat und mit der Bedienung nicht ganz klar kam. So wirklich ungewöhnlich sind die Logeinträge (auch in der Häufigkeit) nicht.
static wrote:Vor dem Serverwechsel hatte ich die üblichen Spamversuche, aber niemals so oft die gleichen Versuche... Oder hängt das mit irgendwelchen aktuellen Viren/Würmern zusammen?
Windows Vista ist rausgekommen. ;)

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: Seltsamer Spam

Post by static » 2007-01-23 19:33

Ok, besten Dank Roger Wilco
Dann bin ich erstmal beruhigt 8O Ich bin mir das in diesem Ausmass einfach nicht gewohnt.
Aber wie du sagst, irgendwas muss da Amok laufen, weil für einen DDOS sind die Anfragen ja wiederum viel zu selten. Andererseits, erschliesst es sich mir nicht, warum jemand tausende Male versuchen sollte eine eindeutig nicht existente Mailadresse anzuschreiben, bzw. es nicht einmal hinkriegt eine vernünftige SMTP Session herzustellen :-/

Naja ich werd das dann wohl die nächsten Tage beobachten...
static wrote:Vor dem Serverwechsel hatte ich die üblichen Spamversuche, aber niemals so oft die gleichen Versuche... Oder hängt das mit irgendwelchen aktuellen Viren/Würmern zusammen?
Windows Vista ist rausgekommen. ;)
:-P Hehe stimmt, daran hatte ich nicht gedacht...

static

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Seltsamer Spam

Post by Roger Wilco » 2007-01-23 19:40

static wrote:Andererseits, erschliesst es sich mir nicht, warum jemand tausende Male versuchen sollte eine eindeutig nicht existente Mailadresse anzuschreiben, bzw. es nicht einmal hinkriegt eine vernünftige SMTP Session herzustellen :-/
(Achtung wilde Vermutungen!)
Die Schadsoftware, die auf den Dronen des Botnetzes läuft, hat eine kleine SMTP-Engine, welche auch Retries beherrscht (daher versuchen es die Dronen immer wieder, auch wenn dein MTA abblockt).
Der Mieter hat mit der Steuerungssoftware Mist gebaut und kaputte Daten eingegeben (z. B. den ungültigen Hostname beim EHLO). Da nicht alle Dronen permanent laufen, kommen die kaputten Daten an deinem Mailserver über einen längeren Zeitraum an, eben wenn die infizierten Rechner online gehen.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Seltsamer Spam

Post by Joe User » 2007-01-24 10:17

Nächste Vermutung: Der Vormieter hatte ein Open-Relay...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

static
Posts: 437
Joined: 2002-10-27 19:56
Location: Schweiz

Re: Seltsamer Spam

Post by static » 2007-01-24 10:43

Hi Joe User
das habe ich mir auch bereits überlegt.
Allerdings befindet sich die IP in keiner Blacklist und über Suchmachschinen gibt es ebenfalls keinen Hinweis auf Domains die zu der IP gehörten.

Eventuell liegt es aber auch einfach am Netz, das dieses aus irgendwelchen Gründen öfters von Spammern frequentiert wird.

static