31-05-07

Tomorrow Friday - is your mailserver secure ?

After the incident last week with the mailservers of Vlaanderen.be (and others but that did seem to survive the onslaught or didn't make the news) one has to prepare for tomorrow. Or maybe it is just an old habitude of a virus fighter that is coming back. Check your installations on tuesday, make sure that everything is fine so that whatever comes on friday ( a day viruswriters seemed to prefer because it was the day before the weekend and ICT staff can be occupied with lots of  other stuff that needs to be finished before the end of the week). Since a while it seems as if there was nothing to be worried about and people have thought for a while that automatic scanning and so on will defend us all and that we don't need human 'border controls'. Last friday has been a wake up call.

 

I will stop the tit for tat that is going around here and on forums because this doesn't help the principal subject (the bad situation of internetsecurity on the Belgian web) not a bit further and that is the only purpose (always have been) of this blog.

 

Practical now. What is essential ?

* You need to have some kind of automatic antispam, antivirus software and be sure that is updated correctly

 

* You need to have logs with reports about the kind of spam and viruses that are stopped to and from where

 

* You need to have statistics on use, volume, destinations of your emailtraffic, eventually in realtime to be able to see if something is not according to normal traffic (first research, than cry fool)

 

* You need to adjust the filters manually to add terms, senders and destinations to let through some (whitelist) and to block others that go through (blacklist)

 

* You need a procedure that you can implement if your servers become overloaded with a spamstorm so your mailserver can filter those internal good mails from the rest and send them first (can be a special word in the subject).

 

* You need to be sure that your mailserver is not an Open Relay. You can use tests on the internet and the one used against Vlaanderen.be but you can also test it for real with real emails from a post you have connected outside your network. You must be sure that you have the explicit permission to do such a thing.

 

http://www.rbl.jp/cgi-bin/svcheck.cgi?hostname=xxxxxxxxxx...

change the xxxx into the ip address of the server

 

* You need to be sure that your mailserver doesn't accept any mistaken or false addresses. This is the best guarantee that tricks like the one above will be more difficult to execute. It is a decision between being userfriendly and being secure, but if you make sure that the sender gets an email that the email was refused because the account doesn't exist and that he has to check the emailaddress or use a form on the internet, than it stays userfriendly. You will have to take care although that this message isn't

- sent out more than once, even if it bounces (not to make a loop - and this is for all 'fault messages' or even accept messages.

- stops sending when the same servers starts sending hundreds of variants of emailadresses

 

tip you can also break the loop by making resending not automatic or default, but only do one resend for example every half an hour during 2 hours and than once every 6 hours twice. (Except for mass attacks, but than I presume you are before the screens of your server, your graphical indicators and your logs playing wargames).

 

Some mailservers accept all emailmessages with or without a good emailadresses. It is much wiser to just drop it. Just to refuse a lot of garbase you don't have to look at (and concentrate on the real attacks and problems). Sorry for the guy who has mistyped his address and will have to resend his email, but if you take the bad street on your way home you also have to turn back.

 

And most important of all

Believe only what you see and ask questions. Do not take things for granted.

10:36 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Van waar zijn die Belgische Attacking sites

Even het lijstje van projecthoneypot.org overlopen en een traceroute gedaan om te kijken wat die eventueel waren. Indien iedereen nu zijn deel van de kleine koek opkuist, dan moet dit niet lang nemen - gezien de beperkte omvang van de lijst.

 

217.136.254.79 gaat tot 79.254-136-217.adsl-static.isp.belgacom.be

213.224.83.4 gaat tot nchobo10.telenet-ops.be

195.138.218.19 gaat tot www.actek-c.com

213.189.169.135 gaat tot host-212-68-201-91.brutele.be

212.68.237.75 gaat tot host-212-68-237-1.brutele.be

81.246.100.111 gaat tot 250.244-241-81.adsl-static.isp.belgacom.be

213.189.182.202 gaat tot 212.68.201.228 host-212-68-201-228.brutele.be

81.242.6.150 gaat tot 150.6-242-81.adsl-static.isp.belgacom.be

85.27.120.182 gaat tot host-212-68-201-194.brutele.be

85.201.35.20 gaat tot 213-224-30-234.iFiber.telenet-ops.be

87.244.143.159 gaat tot 213.46.162.21 be-bru01a-ra1-so-2-0-0-0.aorta.net (waarschijnlijk chello.be)

87.244.167.98 gaat tot cable-87-244-167-98.upc.chello.be

194.78.217.138 gaat tot 138.217-78-194.adsl-static.isp.belgacom.be

194.78.181.130 gaat tot 130.181-78-194.adsl-static.isp.belgacom.be

62.166.195.234 gaat tot cust195-234.dsl.versadsl.be

81.243.251.87 gaat tot 87.251-243-81.adsl-static.isp.belgacom.be

87.244.165.192 gaat tot cable-87-244-165-192.upc.chello.be

212.68.250.110 gaat tot host-212-68-250-110.brutele.be

213.177.169.67 gaat tot host-66-169.m-link.be

213.246.202.226 gaat tot datapoint-1501-u.customer.be.colt.net

85.27.5.120 gaat tot host-212-68-201-89.brutele.be

217.136.253.164 gaat tot 164.253-136-217.adsl-static.isp.belgacom.be

213.213.202.66 gaat tot host-212-68-201-251.brutele.be

195.244.163.5 gaat tot 193.191.2.157 cirb.customer.science.belnet.net

213.49.135.135 gaat tot 194.119.225.154 (en voordien Scarlet)

 

We merken dat het vooral gaat om individuele breedbandposten, met hier en daar een specifieker geval. Meer informatie over het waarom van de listing vindt je als je je inschrijft in het project. Daar staat alle informatie.

 

Ter herinnering deze adressen verschijnen dus waarschijnlijk ook steeds meer in blocklijsten en zullen op termijn dus problemen kunnen hebben.

00:26 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

30-05-07

List of emailadresses that are mostly used in directory attacks

The http://www.projecthoneypot.org  publishes also an alltime superlist of emailaddresses that were tested most often during directory attacks. If you are setting up a new emaildomain you should keep in mind that this kind of emailaddresses sure sound easy to use but will receive a lot of spam and other emailattacks. We selected the most obvious ones.

 

1. info 66,974

2. mail 66,599

3. sales 61,672

4. admin 55,830

5. webmaster 49,736

6. postmaster 46,184

7. uucp 41,041

8. majordomo 40,293

9. support 39,001

10. help 35,819

11. home 34,665

12. sale 32,026

14. accounting 31,024

15. advertising 30,575

16. billing 29,981

17. root 28,001

18. accounts 27,039

19. hr 20,611

21. contact 17,746

22. administrator 13,830

23. post 13,060

24. design 8,276

25. test 2,826

30. guest 2,769

31. service 2,250

33. manager 2,050

34. marketing 1,947

35. personal 1,889

36. office 1,846

38. advise 1,778

41. advert 1,767

43. news 1,396

59. direct 1,392

63. media 1,390

64. main 1,386

65. abuse 1,252

68.nullpointer 821

72.catchthismail 659

 

Emailaddresses with only english personal names like james, jenny and so on are not a good idea either.

23:30 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (1) |  Facebook |

Do the right thing - participate in this honeypot project

Honeypots are essential for securitypeople because they give you the opportunity to receive malware or spambots before or at the same time normal websites do and the security firms still have to write (or add) protection against it. But honeypots cost money so this initiative wants you to give them parts of servers or emaildomains. To get the latest attackers and scammers. If you participate you get access to their instantly updated database of IP adresses of hosts that were caught. It is just some lines of code to include or a small script to include in your servers. The results can be made public or kept private.

 

It would be smart for Vlaanderen.be to participate as they know will receive a lot of bad traffic at their mailserver because of the incident (once caught, always tried again). It would be interesting for many Belgian sites to participate and hope that by publishing this list we not only get better protected, but also will activate the so-called e-cops at doing something about it.

 

http://www.projecthoneypot.org 

 

These are Belgian hosts that try to harvest emailaddresses. You have the Ip address, the number of incidents with the first and the last date.

217.136.254.79 132007-04-06  2007-05-22 
213.224.83.4 332005-04-05  2007-05-19 
195.138.218.19 42007-05-14  2007-05-14

 

These are Belgian hosts that try to test if emailaddresses work at emailservers (Directory attacks)

213.189.169.135 132007-05-28  2007-05-28 
212.68.237.75 32007-05-28  2007-05-28 
81.246.100.111 62007-05-24  2007-05-24 
213.189.182.202 42007-05-24  2007-05-24 
81.242.6.150 62007-05-21  2007-05-21 
85.27.120.182 172007-05-17  2007-05-17 
85.201.35.20 52007-05-15  2007-05-15 
87.244.143.159 302007-05-14  2007-05-14 
87.244.167.98 432007-05-14  2007-05-14 
194.78.217.138 212007-05-09  2007-05-11 

 

These are Belgian IP's that send spam and were identified as such and sent out most of the spam caught the last month

194.78.181.130 632006-06-17  2007-05-18

62.166.195.234 222006-11-22  2007-05-26

81.243.251.87 192007-03-05  2007-05-19

87.244.165.192 182007-02-23  2007-05-20

212.68.250.110 172007-04-15  2007-05-26 

213.177.169.67 172006-12-03  2007-05-27

213.246.202.226 162007-03-06  2007-05-29

85.27.5.120        152007-05-17  2007-05-26 

 217.136.253.164 142007-04-04  2007-05-30 

213.213.202.66 132007-02-23  2007-05-15 

195.244.163.5 132007-01-09  2007-05-28

213.49.135.135 132006-12-19  2007-05-29

 

I think any big network operator should need it owns network of honeypots and this is a simple, coordinated and free way to do it.

 

23:20 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Trolling operatie over vlaanderen.be spamincident

Een aantal mensen zet dezelfde berichten op de verschillende forums waar een deel van berichtgeving hieronder over het incident werd overgenomen. Soms hebben ze dezelfde naam. Sommigen doen dus veel moeite om

 

* dit bloggertje hier in diskrediet te brengen

 

* de aandacht af te leiden van het incident zelf en van de andere kwesties (geen spf, geen domainkeys, geen internet stormcenter,.....)

 

* het gebruikte script in vraag te stellen (je kan maar vaststellen dat de test  aangeeft dat het mogelijk is en nee ik heb het niet zelf geprobeerd want dat is mijn bevoegdheid niet)

 

In feite is deze laatste vraag zelfs een onozele vraag want het doet er niet toe of je het in feite echt kunt doen of niet. Iedereen met wat ervaring met internetbe- veiliging weet dat als online tools zoals die scripts voor open relay (en ik had aangegeven dat slechts 2 heel specifieke testen op de 20 werkten) een positief antwoord geven (zelfs ten onrechte) dat je hoe dan ook een hele pak negatieve traffiek kunt krijgen (die je in feite kan missen als de pest omdat er 101 andere dingen zijn waar je ogen en handen tijd voor moeten hebben).

 

Zelfs al werkt het 'lame' scriptje niet zoals de anonieme specialisten hieronder schrijven, het is hoe dan ook beter dat het GEEN enkel positief antwoord geeft op hun test omdat het scriptkiddies of desperado's (aan het einde van de maand en nog zoveel spam te versturen) op verkeerde ideeën kan brengen. En aangezien het dan geautomatiseerde aanvallen zijn, duren die een bepaalde tijd.

 

Het is trouwens goed mogelijk dat men nu en dan hetzelfde fenomeen gaat ondervinden omdat als je éénmaal in de testlist van blackhats zit (en dat weet ook elke security ervaringsdeskundige) dan geraak je daar niet zo snel uit.

 

Ik heb geen verdere testen gedaan dan het intikken van dat ip adres. De rest van de testen is up to the professionals die ondertussen de zaken al meer hebben toegegooid. Trouwens als ik zie hoe men hier al reageert op dit kleinee testje, dan vraag ik me af hoe ze zouden reageren indien overheidsinstellingen zoals in de VS jaarlijks een onafhankelijke IT audit moeten ondergaan die publiekelijk in het parlement moet besproken worden.

 

Maar verwacht niet dat men op dat laatste zal reageren in de reakties.

Of is men overspannen in deze verkiezingstijd ?

15:19 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (1) |  Facebook |

vlaanderen.be sluit haar mailservers nu beter af (update 1)

Op het internet onder de reacties staat dat ik een dommerik ben of iets in die aard omdat het scriptje niet meer werkt. Natuurlijk werkt het niet meer en dat is maar goed ook. Ze hebben eindelijk ook dat achterpoortje afgesloten.

 

Is het ook bij u afgesloten ?

 

Er staat tevens dat de mailserver geen tekens aanvaardt in eigen adressen en dat is juist - nooit anders gesteld. Maar diezelfde emailserver die wel een dergelijk foutief eigen adres verwerpt, zond wel de mail door naar de andere adressen die in de mail stonden, so cares a s..... 

 

Zolang die andere emailadressen maar toekomen natuurlijk want om die andere adressen is het te doen. Die eerste die maak je automatisch met een script of tooltje, de rest haal je uit je lijst-database van gerecupereerde adressen en die brengen geld op.

 

Het zou mij niet verwonderen als dit soort truuks de openrelay kwestie weer naar de voorgrond brengt, terwijl ze reeds een tijdje als afgesloten werd beschouwd.

 

update Iemand zegt dat het ook kan zijn dat het niet is omdat de mailserver de connectie aanvaardt (naar de andere adressen) dat die hem ook doorstuurt. Kan zijn, ontken ik niet dat dat kan, maar als het gevolg ervan is dat een botnet of een spammer probeert om zijn spam via jouw server door te sturen omdat hij via een dergelijk script denkt dat hij er voorbij zou geraken, dan zit je nog met die massa's spam die toekomen en die je niet zou hebben als je server normaal goed was afgesloten en geen onbekende connecties aanvaardt.

 

Nog eens, ik ben maar een buitenstaander in deze zaak en ik stel maar vragen.

12:09 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (2) |  Facebook |

29-05-07

new monitoring from next week on be-up

vanaf volgende week op be-up

 

* monitoring responsetijd dns service DNS servers skynet, telenet en DNS.Be

 

* monitoring responsetijd mail service Skynet, Telenet,.....

 

* monitoring router infrastructuur Belnet (fgov, vlaanderen,....)

 

http://be-up.skynetblogs.be

15:52 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

1 2 3 4 5 6 7 8 Volgende