30-05-07

List of emailadresses that are mostly used in directory attacks

The http://www.projecthoneypot.org  publishes also an alltime superlist of emailaddresses that were tested most often during directory attacks. If you are setting up a new emaildomain you should keep in mind that this kind of emailaddresses sure sound easy to use but will receive a lot of spam and other emailattacks. We selected the most obvious ones.

 

1. info 66,974

2. mail 66,599

3. sales 61,672

4. admin 55,830

5. webmaster 49,736

6. postmaster 46,184

7. uucp 41,041

8. majordomo 40,293

9. support 39,001

10. help 35,819

11. home 34,665

12. sale 32,026

14. accounting 31,024

15. advertising 30,575

16. billing 29,981

17. root 28,001

18. accounts 27,039

19. hr 20,611

21. contact 17,746

22. administrator 13,830

23. post 13,060

24. design 8,276

25. test 2,826

30. guest 2,769

31. service 2,250

33. manager 2,050

34. marketing 1,947

35. personal 1,889

36. office 1,846

38. advise 1,778

41. advert 1,767

43. news 1,396

59. direct 1,392

63. media 1,390

64. main 1,386

65. abuse 1,252

68.nullpointer 821

72.catchthismail 659

 

Emailaddresses with only english personal names like james, jenny and so on are not a good idea either.

23:30 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (1) |  Facebook |

Do the right thing - participate in this honeypot project

Honeypots are essential for securitypeople because they give you the opportunity to receive malware or spambots before or at the same time normal websites do and the security firms still have to write (or add) protection against it. But honeypots cost money so this initiative wants you to give them parts of servers or emaildomains. To get the latest attackers and scammers. If you participate you get access to their instantly updated database of IP adresses of hosts that were caught. It is just some lines of code to include or a small script to include in your servers. The results can be made public or kept private.

 

It would be smart for Vlaanderen.be to participate as they know will receive a lot of bad traffic at their mailserver because of the incident (once caught, always tried again). It would be interesting for many Belgian sites to participate and hope that by publishing this list we not only get better protected, but also will activate the so-called e-cops at doing something about it.

 

http://www.projecthoneypot.org 

 

These are Belgian hosts that try to harvest emailaddresses. You have the Ip address, the number of incidents with the first and the last date.

217.136.254.79 132007-04-06  2007-05-22 
213.224.83.4 332005-04-05  2007-05-19 
195.138.218.19 42007-05-14  2007-05-14

 

These are Belgian hosts that try to test if emailaddresses work at emailservers (Directory attacks)

213.189.169.135 132007-05-28  2007-05-28 
212.68.237.75 32007-05-28  2007-05-28 
81.246.100.111 62007-05-24  2007-05-24 
213.189.182.202 42007-05-24  2007-05-24 
81.242.6.150 62007-05-21  2007-05-21 
85.27.120.182 172007-05-17  2007-05-17 
85.201.35.20 52007-05-15  2007-05-15 
87.244.143.159 302007-05-14  2007-05-14 
87.244.167.98 432007-05-14  2007-05-14 
194.78.217.138 212007-05-09  2007-05-11 

 

These are Belgian IP's that send spam and were identified as such and sent out most of the spam caught the last month

194.78.181.130 632006-06-17  2007-05-18

62.166.195.234 222006-11-22  2007-05-26

81.243.251.87 192007-03-05  2007-05-19

87.244.165.192 182007-02-23  2007-05-20

212.68.250.110 172007-04-15  2007-05-26 

213.177.169.67 172006-12-03  2007-05-27

213.246.202.226 162007-03-06  2007-05-29

85.27.5.120        152007-05-17  2007-05-26 

 217.136.253.164 142007-04-04  2007-05-30 

213.213.202.66 132007-02-23  2007-05-15 

195.244.163.5 132007-01-09  2007-05-28

213.49.135.135 132006-12-19  2007-05-29

 

I think any big network operator should need it owns network of honeypots and this is a simple, coordinated and free way to do it.

 

23:20 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Trolling operatie over vlaanderen.be spamincident

Een aantal mensen zet dezelfde berichten op de verschillende forums waar een deel van berichtgeving hieronder over het incident werd overgenomen. Soms hebben ze dezelfde naam. Sommigen doen dus veel moeite om

 

* dit bloggertje hier in diskrediet te brengen

 

* de aandacht af te leiden van het incident zelf en van de andere kwesties (geen spf, geen domainkeys, geen internet stormcenter,.....)

 

* het gebruikte script in vraag te stellen (je kan maar vaststellen dat de test  aangeeft dat het mogelijk is en nee ik heb het niet zelf geprobeerd want dat is mijn bevoegdheid niet)

 

In feite is deze laatste vraag zelfs een onozele vraag want het doet er niet toe of je het in feite echt kunt doen of niet. Iedereen met wat ervaring met internetbe- veiliging weet dat als online tools zoals die scripts voor open relay (en ik had aangegeven dat slechts 2 heel specifieke testen op de 20 werkten) een positief antwoord geven (zelfs ten onrechte) dat je hoe dan ook een hele pak negatieve traffiek kunt krijgen (die je in feite kan missen als de pest omdat er 101 andere dingen zijn waar je ogen en handen tijd voor moeten hebben).

 

Zelfs al werkt het 'lame' scriptje niet zoals de anonieme specialisten hieronder schrijven, het is hoe dan ook beter dat het GEEN enkel positief antwoord geeft op hun test omdat het scriptkiddies of desperado's (aan het einde van de maand en nog zoveel spam te versturen) op verkeerde ideeën kan brengen. En aangezien het dan geautomatiseerde aanvallen zijn, duren die een bepaalde tijd.

 

Het is trouwens goed mogelijk dat men nu en dan hetzelfde fenomeen gaat ondervinden omdat als je éénmaal in de testlist van blackhats zit (en dat weet ook elke security ervaringsdeskundige) dan geraak je daar niet zo snel uit.

 

Ik heb geen verdere testen gedaan dan het intikken van dat ip adres. De rest van de testen is up to the professionals die ondertussen de zaken al meer hebben toegegooid. Trouwens als ik zie hoe men hier al reageert op dit kleinee testje, dan vraag ik me af hoe ze zouden reageren indien overheidsinstellingen zoals in de VS jaarlijks een onafhankelijke IT audit moeten ondergaan die publiekelijk in het parlement moet besproken worden.

 

Maar verwacht niet dat men op dat laatste zal reageren in de reakties.

Of is men overspannen in deze verkiezingstijd ?

15:19 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (1) |  Facebook |

vlaanderen.be sluit haar mailservers nu beter af (update 1)

Op het internet onder de reacties staat dat ik een dommerik ben of iets in die aard omdat het scriptje niet meer werkt. Natuurlijk werkt het niet meer en dat is maar goed ook. Ze hebben eindelijk ook dat achterpoortje afgesloten.

 

Is het ook bij u afgesloten ?

 

Er staat tevens dat de mailserver geen tekens aanvaardt in eigen adressen en dat is juist - nooit anders gesteld. Maar diezelfde emailserver die wel een dergelijk foutief eigen adres verwerpt, zond wel de mail door naar de andere adressen die in de mail stonden, so cares a s..... 

 

Zolang die andere emailadressen maar toekomen natuurlijk want om die andere adressen is het te doen. Die eerste die maak je automatisch met een script of tooltje, de rest haal je uit je lijst-database van gerecupereerde adressen en die brengen geld op.

 

Het zou mij niet verwonderen als dit soort truuks de openrelay kwestie weer naar de voorgrond brengt, terwijl ze reeds een tijdje als afgesloten werd beschouwd.

 

update Iemand zegt dat het ook kan zijn dat het niet is omdat de mailserver de connectie aanvaardt (naar de andere adressen) dat die hem ook doorstuurt. Kan zijn, ontken ik niet dat dat kan, maar als het gevolg ervan is dat een botnet of een spammer probeert om zijn spam via jouw server door te sturen omdat hij via een dergelijk script denkt dat hij er voorbij zou geraken, dan zit je nog met die massa's spam die toekomen en die je niet zou hebben als je server normaal goed was afgesloten en geen onbekende connecties aanvaardt.

 

Nog eens, ik ben maar een buitenstaander in deze zaak en ik stel maar vragen.

12:09 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (2) |  Facebook |

29-05-07

new monitoring from next week on be-up

vanaf volgende week op be-up

 

* monitoring responsetijd dns service DNS servers skynet, telenet en DNS.Be

 

* monitoring responsetijd mail service Skynet, Telenet,.....

 

* monitoring router infrastructuur Belnet (fgov, vlaanderen,....)

 

http://be-up.skynetblogs.be

15:52 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

Minister Bourgois, Belgian Internet Storm Center en Vlaanderen.be spam

Indien het Belgisch Internet Storm Center er reeds geweest had, dan had de IT van Vlaanderen.be een telefoontje gepleegd en dan had het centrum contact opgenomen met de provider om dringend strenger te gaan filteren zodat belangrijke mail erdoor kon komen, met Belnet contact opgenomen om te kijken of er snel bijkomende computerkracht kon vrijkomen om de stroom toch te blijven behandelen (door de 2 servers na x seconden niet behandeling te laten doormailen naar een serie relaymailservers - ook voor DNS) en hadden ze gekeken om filterspecialisten terplaatse te sturen om de manuele spamfilters zo bij te stellen dat spam sneller werd gestopt voor ze door de spamcontrole van de antispamsoftware moet.

 

Indien een mailserver weet dat alles dat komt van vb server x hoedanook gedropt moet worden, komt het niet meer bij de antispamsoftware en is het hoe dan ook een last minder en kan deze zich enkel bezighouden met mails die echt een tweede analyse nodig hebben. Dit is handwerk - met soms fouten - maar wel noodzakelijk in dit geval.

 

Alleen is er geen Belgisch Internet Storm Center bij het BIPT omdat minister Bourgeois het BIPT wou hervormen - wegdoen in feite, zonder iets in de plaats te stellen zodat de voorziene infrastructuur in de Nieuwe Telecomwet er niet is gekomen. Zodat er geen overlegstructuren, noodprocedures, afspraken en nieuwe verantwoordelijkheden en mogelijkheden voor ISP's zijn gekomen.

 

En dus ondervindt hij nu wat het is als je er alleen voor staat en geen beroep kunt doen op een getrainde groep specialisten met alle contacten die bij een 'digitale ramp' direct terplaatse komt en het nodige in gang zet.

 

Een paar servers bijzetten verandert daar niets aan. De Belgische administrators zijn nog altijd alleen op de wereld en de wet is nog altijd dode letter.

10:56 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (0) |  Facebook |

vlaanderen.be zijn zelf spamservers......

Indien mailservers niet goed zijn ingesteld kunnen ze worden gebruikt als spamservers. Dit betekent dat uw mailservers kunnen gebruikt worden voor het verzenden van een email van iemand anders die vertrekt vanop een andere mailserver en die toekomt op de mailserver en in de mailbox (als die door filters geraakt) van iemand anders.

 

Zo vb stuur ik email van server c;c;c;c;c  met een ander emailadres in het slechtste geval mark@tino.be naar de server van Vlaanderen.be om te versturen naar pieter@hoeke.be  Omdat de meeste servers dit gelukkig niet zullen toelaten (een emailserver verstuurt slechts mail van haar eigen klanten en niet voor het hele internet) worden er nu veel meer samengestelde emailadressen gemaakt waardoor de emailserver indien ze niet goed is ingesteld en geen domeinkeys of spf gebruikt niet controleert of de email die de indruk geeft te komen van hun eigen klanten (vlaanderen.be) wel echt van het eigen domein komt.

 

Je hebt simpele open relay testen en je hebt er die veel dieper gaan en meer samengestelde testen doen. Op 10 testen hebben de mailservers van Vlaanderen.be 2 maal gefaald en dat is dan op de meer ingewikkelde nieuwe technieken om simpele antirelayverdedigingen te omzeilen (doorsturen, copies, bcc,...)

 

Relay test 17

>>> RSET
<<< 250 reset
>>> MAIL FROM: <rlychk@mx1.vlaanderen.be>
<<< 250 sender <rlychk@mx1.vlaanderen.be> ok
>>> RCPT TO: <"rlytest%rep.rbl.jp"@vlaanderen.be>
<<< 250 recipient <rlytest%rep.rbl.jp@vlaanderen.be> ok
relay accepted!!

Relay test 18

>>> RSET
<<< 250 reset
>>> MAIL FROM: <rlychk@mx1.vlaanderen.be>
<<< 250 sender <rlychk@mx1.vlaanderen.be> ok
>>> RCPT TO: <"rlytest@rep.rbl.jp"@vlaanderen.be>
<<< 250 recipient <rlytest@rep.rbl.jp@vlaanderen.be> ok
relay accepted!!

Relay test 19

>>> RSET
<<< 250 reset
>>> MAIL FROM: <rlychk@localhost>
<<< 250 sender <rlychk@localhost> ok
>>> RCPT TO: <rlytest@rep.rbl.jp>
<<< 550 #5.1.0 Address rejected.
relay NOT accepted!!

Closing connection ...

>>> QUIT
<<< 221 mx3.vlaanderen.be

Relay test result

All tests performed, 2 relays accepted.

bron http://www.rbl.jp/cgi-bin/svcheck.cgi?hostname=193.191.13...

 

Ze mogen dus nog van geluk spreken dat ze nog niet in een blacklist zitten, want indien je emaildomein of je mailservers daarin geraken (en Vlaanderen.be heeft er maar twee) dan duurt het maanden om daar helemaal uit te geraken. Ook juridisch gezien lopen ze grote risico's indien het zo zou zijn dat hun mailservers door spammers gebruikt zou worden om spam te versturen naar anderen die klacht zouden kunnen neerleggen op basis van de Europese wetgeving.

 

Ligt het probleem dus nog altijd bij meer servers ?

 

UPDATE 30/05 De servers van Vlaanderen.be zijn nu wel afgesloten voor dit soort relay-scripts. Test het misschien maar eens tegen het uwe en sluit uw server dan ook maar af.

01:02 Gepost door technology changes fast not a lot in Algemeen | Permalink | Commentaren (7) |  Facebook |