fm16st v1.3.2 - gefakte FormMail-Sicherheitslücke

Dieses Skript entstand aus der Idee von Norbert Huettisch in de.admin.net-abuse.mail. Der Zweck dieses Skripts ist es, den Spammern das Leben etwas zu erschweren, die die Sicherheitslücke in den älteren FormMail-Versionen ausnutzen wollen (FormMail-Exploit).

Für den Spammer (bzw. seine Software) sieht es so aus, als würde er ein ganz normales FormMail 1.6 bedienen. In Wahrheit werden seine Mails natürlich nicht verschickt und seine Aktivitäten werden geloggt. Zwar kann man die Zugriffe des Spammers natürlich auch auf der access.log sehen, fm16st loggt aber noch einige weitere Informationen mit, so dass man die Aktivitäten der Spammer gut beobachten kann.

Ursprünglich war es dazu gedacht, »echte« E-Mail-Adressen von Spammern heraus zu finden. Das funktioniert auch, jedoch auf keinen Fall automatisch, wie sich gezeigt hat. Man muss also das Logfile durchgehen und selbst entscheiden.

was es bringt

was fm16st nicht macht:

Ohne regelmäßige Kontrolle der trap.log und dem Weiterschicken von Testmails von Hand wird kein Spam verhindert. Die trap.log wird irgendwann sehr groß, wenn man sie nicht von Hand verkleinert.
Die kleine Anzahl von Spam-Mails, die durch dieses Skript verhindert werden, sind eigentlich nur ein Tropfen auf den heißen Stein (aber Kleinvieh macht ja auch Mist).
fm16st ist keine technische Innovation, in Wahrheit handelt es sich nur um ein kastriertes FormMail 1.6, das anstatt die Anfrage als Mail weiterzuleiten den Zugriff im Logfile speichert.

warum fm16st trotzdem gut ist:

Ich habe das Skript jetzt schon einige Zeit in Benutzung und bin der Meinung, dass es sich bewährt hat:

Es bietet eine bequeme Möglichkeit die Spam-Versuche via FormMail auf dem eigenen Server zu beobachten.
Die mitgeloggten Hostnames sind eine gute Quelle für offene Proxies. Manchmal reicht ein Hinweis an den Betreiber und der Proxy wird dicht gemacht. Vor der Beschwerdemail aber bitte noch selbst überprüfen, ob es sich wirklich um einen offenen Proxy handelt.
Wenn man im Logfile sieht, dass ein Spammer das Skript auf die FormMail 1.6-Sicherheitslücke überprüft, dann kann man sich den Spaß erlauben, solche Testmails von Hand weiterzuleiten. Somit wird der Spammer versuchen, seine Spams über fm16st abzukippen, die dann alle nach /dev/nul laufen und höchstens noch mitgeloggt werden. Achtung: Das Logfile kann dann recht groß werden.
Damit werden also aktiv Spam-Mails verhindert.
Pro Zugriff ist im Logfile eine Wartezeit von einer Sekunde eingetragen, bis sich die Antwort-Seite vollständig aufgebaut hat. Möglicherweise bremst das den Spammer etwas aus (Teergrubeneffekt). Allerdings wird dieser Effekt vernachlässigbar klein sein und ich habe bis heute keine Erfahrungen sammeln können, ob das wirklich so ist.

Einrichtung des Skripts

Zuerst sollten alle Variablen im Kopf des Programms an die eigenen Wünsche angepasst werden. Am wichtigsten ist natürlich, dass die Pfadangaben stimmen, damit keine Schreibfehler zum Programmabbruch führen.

Das Skript umbenennen/kopieren in formmail.pl, formmail.cgi, FormMail.pl, FormMail.cgi und z.B. in /cgi-bin/ uploaden, damit das Skript von den Spammern gefunden werden kann (Unix-Rechte entsprechend setzen). Nach Belieben Symlinks setzen...

Als nächstes sollte die trap.log angelegt werden und die entsprechenden Schreibrechte müssen gesetzt werden.

Schließlich können noch Links von anderen HTML-Seiten auf das Skript erstellt werden, damit es von diesen Spam-Bots gefunden werden kann. Bitte darauf achten, dass keine »Normal-Surfer« auf das Skript kommen und unnötig verwirrt werden :-)

die Variablen im Einzelnen:

$writelog = 0 oder 1
Ist 0 gesetzt, schreibt fm16st in keine separate Logdatei; ist 1 gesetzt, wird pro Aufruf der in $logfile angegebenen Datei eine oder mehrere Zeilen mit den wichtigsten Daten angefügt (je nach dem, ob der Spammer Zeilenumbrüche erzwingt, das ist Teil des Exploits. Oft wird im eigentlichen »Subject« der ganze Spam untergebracht, somit wird auch der komplette Spam in die trap.log geschrieben).
Die trap.log kann bei einer massiven Spamwelle ziemlich schnell ziemlich groß werden!
Auf entsprechenden Unix-Schreibrechte sind zu achten. (Default: 1)
$logfile = '/(pfad)/trap.log'
Der Pfad und Dateiname der Logdatei. Es sollte sich um eine Datei handeln, die nicht von anderen Programmen benutzt wird. Ist $writelog auf 0 gesetzt, muss hier nichts eingetragen werden. (Außerdem ist es evtl. sinnvoll, das Format der Logdatei dem eigenen Bedarf anzupassen. Dann muss man die Subroutine write_logfile abändern.)
$notify_by_email = 0 oder 1
Wenn diese Option auf 1 gesetzt wird, wird bei jedem Aufruf des Skripts eine Benachrichtigung per E-Mail an den in $notify_to festgelegten Empfänger versandt.
Diese E-Mail-Benachrichtigung empfielt sich nur zum Bebachten von Spammern, solange sich die Zugriffe in Grenzen halten. Bei einer größeren Spam-Aktion gibt es sehr viele Benachrichtigungs-Mails.
$mailprog = '/(path)/sendmail -i -t'
Pfad und Dateiname des Mailprogramms, analog zu FormMail. Die Optionen -i und -t bitte nicht entfernen, außer wenn Sie genau wissen, was Sie tun.
$notify_to = 'Your Name <your@email.here>'
Was hier eingetragen wird, kommt in den To:-Header der gesendeten Benach- richtigungs-E-Mail und sollte natürlich Ihre eigene E-Mail-Adresse sein. Bitte unbedingt auf Tippfehler in der Adresse achten, um Bounces zu ver- meiden.
$notify_from = 'fm16st <your@email.here>'
Diese Adresse steht im Absender. Bitte auch hier eine gültige E-Mail- Adresse verwenden.
$sleep_time = (zeitangabe)
fm16st kann während der Ausgabe der Rückmeldung per HTML eine kurze Pause einlegen. Im Prinzip ist eine solche Pause zwar nicht nötig, kann aber evtl. nützlich sein um Spammer etwas auszubremsen oder um Server-über- lastung zu vermeiden. Um diese Pause auszuschalten, einfach 0 einsetzen. (Default: 1)

Betrieb des Skripts

Nachdem das Skript eingerichtet ist und funktioniert, einfach mal auf die Spammer warten :-)
Nach Belieben irgendwelche Test-Aufrufe von Hand weiterleiten und regelmäßig die trap.log überprüfen.
(Ich gebe ja zu, dieser Teil der Doku ist sehr dürftig :-) Ich gehe aber davon aus, dass jeder, der dieses Skript einsetzt, weiß, warum er das tut.)

History

1.3.2 (2004-05-15)

1.3.1 (2003-01-25)

1.3 (2003-01-18)

1.2 (2003-01-12)

1.1

ToDo-Liste

Zu tun gibt es bestimmt noch einiges, leider habe ich für fm16st ziemlich wenig Zeit. Was ich auf jeden Fall noch verbessern will, ist die Log-Funktion und die Benachrichtigung per E-Mail, damit man etwas genauer beobachten kann, was der Spammer so vorhatte.
Sehr nett wäre, wenn Sie mir noch ein paar Log-Ausschnitte von solchen Spammer-Versuchen schicken könnte, sei es aus der access.log des Web-Servers oder auch aus der trap.log. Natürlich bin ich auch für jeden anderen Hinweis/Wunsch sehr dankbar.

Download

Das Skript zum online-anschauen: fm16st.txt

oder hier das Komplettpaket:
fm16st.zip (18kB)
fm16st.rar (14kB)

Das rar-Archiv enthält die »rar authenticity verification«. Nur echt, wenn »created by: Wolfgang Ellsässer« drinsteht, das Datum muss der 15. Mai 2004 sein.

Links

zum Schluss...

Der Name

fm16st heißt ausgeschrieben »FormMail 1.6-Spamtrap«. Die Kurzbezeichnung hängt wohl etwas mit meiner Vorliebe für kryptische Namen zusammen...

Rechtliches

Das Skript basiert auf FormMail 1.6 von Matt Wright. Damit hat es auch die selbe Lizenz wie das orginale FormMail. Kurz gesagt, es darf frei angewendet und modifiziert werden, solange der Kommentar mit dem Copyright nicht entfernt wird. Der ausführliche (englische) steht im Skript.

Natürlich kann ich für dieses Skript keinerlei Gewährleistungen oder Garantien übernehmen. Ich habe es ausfürhlich getestet, jedoch kann ich nicht ausschließen, dass es dennoch Fehler enthält. Ich setze voraus, dass jeder, der dieses Skript einsetzt, weiß, was er tut.

--
Done by Wolfgang Ellsässer, last update: 2004-05-15
(Ähm... Es hat wohl niemand Lust, diese Seite ins Englische zu übersetzen, oder?)

fm16st Version 1.3.2 (2004-05-15)