[Postfixbuch-users] abuse.net VERDAMMT!

Daniel Sepeur mlists at eomis.de
Mo Sep 27 08:28:15 CEST 2004 

Moin Ralf,
Moin Leute,

> > > Ich habe ein einziges Script gefunden, das genau auf 
> diese Uhrzeit 
> > > passt. Ich hab mal alle Logfiles für mich in ein Verzeichnis 
> > > umgebogen und gerade eben nach der Zeit gesucht. Das 
> Script ist aber 
> > > im Grunde soweit ok.
> > 
> > Sicher? Deaktivier es doch mal oder aender es leicht ab, sodass du 
> > sehen kannst, ob es besagtes Problem hervorruft (z.B. einen Header 
> > einfügen, den du mit header_checks wieder finden kannst)
> 
> Idee: Jedes Script kriegt einen Mechanismus, der einen Header 
> einbaut, z.B.
> 
> X-Which-Script: 1
> 
> (wobei die natuerlich durchnummeriert werden oder die URL enthalten).
> 
> Dann kann man mit
> 
> header_checks pcre:/etc/postfix/foo
> 
> /^X-Which-Script:/ WARN
> 
> immer nachvollziehen, welche Scripte Mist bauen!

Das klingt super. Nur kann ich sowas jedem Kunden zumuten?
Ich habe jetzt das besagte Script einmal so abgeändert, dass es nur noch
von lokalen Domains (HTTP_REFERER) ausgeführt werden darf und nur noch
an eMail-Adressen dieser Domains schicken darf.

Das Konstrukt sieht so aus:

@domains = (meinedomain1.de,meinedomain2.de);
@recipients =
('^empfaenger1\@meinedomain1\.de','^empfaenger\@meinedomain2\.de')

Hierzu gehe ich dann zwei schleifen im Programm durch, die mir testen,
ob die übergebenen Parameter bzw. ENV_{HTTP_REFERER} passen. Wenn alles
ok, lässt das Programm halt durch, ansonsten blockt es ab.

Tja ... was sich so doll anhört klappt auch, wenn ich das übern Browser
mache.
Aber irgendwie hats der Typ heute morgen um 6:11 Uhr (da hab ich mich
grad für ne halbe Stunde hingelegt), nochmal missbraucht.
Natürlich mit gefaketem HTTP_REFERER, wobei er aber mindestens an den
@recipients hängen bleiben sollte. Jetzt muss ich mal schaun, wie er die
Mail in das Programm piped bzw. wie er das Programm aufruft. Leider
blieb mir das bislang verborgen.

Was ich habe ist der Call des Programms aus dem Apache-Log:

domain.de:200.162.72.131 - - [27/Sep/2004:06:11:18 +0200] "POST
/mailforms/../cgi-bin/mailer.cgi HTTP/1.0" 404 282
"http://www.domain.de/" "-"

Ich bin weiter auf der Spur. Im Moment habe ich das ganze verdammte
Script deaktiviert. 

Daniel

Mehr Informationen über die Mailingliste Postfixbuch-users