Strom sparender Computereinsatz hilft nicht zuletzt auch Kosten zu senken. ADMIN 02/2011 geht der Frage nach, was Administratoren tun können, damit ihre ... (mehr)

Kein Kommentar

Immer mehr greift die Unsitte des Kommentar-Spams um sich. In meinem eigenen Blog landen zum Beispiel jede Woche mehrere etwas kryptische Kommentare. Meistens handelt es sich dabei um eine mehr oder weniger sinnvolle Sammlung von Wörtern, zusammen mit einem Link auf eine Website.

Projekt Honey Pot analysiert den Inhalt solcher Spam-Kommentare und erzeugt eine Liste der meistverwendeten Spam-Wörter. Viele Content-Management- und Blog-Systeme akzeptieren eine Liste von Wörtern, aufgrund derer sie einen Kommentar als Spam klassifizieren. Die Listen von Honeypot bieten eine gute Grundlage dafür, auf diesem Weg die Erkennungsquote dramatisch zu steigern. Das Projekt publiziert außerdem eine Liste von Domain-Namen und Adressen, auf die Spammer in Kommentaren besonders häufig verweisen.

Ein beliebtes Einfallstor für Spammer entsteht, wenn Administratoren ihren Mailserver nicht richtig konfigurieren. Dann wird aus ihm schnell ein sogenanntes offenes Relay, was bedeutet, dass jeder über den Server Mail verschicken darf, egal welche Absender- und Empfängeradresse er verwendet. Ein besondere Gefahr entsteht hieraus, weil die Spam-Nachrichten in diesem Fall von einem ansonsten legitimen Absender stammen. Schnell landet dieser dann auf einer Blacklist und sperrt damit seine Anwender von der E-Mail-Nutzung aus – auch wenn diese Blacklist-Praxis nicht unumstritten ist [3] .

Clevere Spammer

Die Spammer sind aber auch nicht dumm und wollen natürlich wissen, wenn der von ihnen verwendete Server blockiert wird. Deshalb testen sie offene Relays, indem sie Mails an sich selbst verschicken. Nur wenn eine Mail auch ankommt, handelt es sich um einen für ihre Zwecke nutzbaren Server. Auch daran haben die Macher des Projekts Honey Pot gedacht. Sie versuchen zu identifizieren, welche Adresse die Spammer für solche Tests verwenden. Sie lässt der Honey Pot dann im Folgenden durch, verwirft aber alle anderen Nachrichten.

Jeder Administrator kann sich beim Honey-Pot-Projekt einbringen, indem er einen eigenen Honeypot installiert. Dazu muss er eine Vereinbarung unterzeichnen, die unter anderem besagt, dass er eine Seite mit Nutzungsvereinbarungen in seine Website aufnimmt, die das Harvesting von E-Mail-Adressen untersagen. Diese neue Seite enthält auch die E-Mail-Adresse des eigentlichen Honeypot. Diese Adresse gibt es im Projekt nur einmal, sodass sie eindeutig zugeordnet werden kann. Weil sie nur über die neue Webseite zu finden ist, kann niemand sich darauf berufen, die Nutzungsvereinbarungen nicht zu kennen. Honeypot speichert wie beschrieben die IP-Adresse des Harvesters. Ein solcher Honeypot lässt sich zu jeder Website hinzufügen, die die Ausführung eigener Skripts erlaubt, zum Beispiel mit PHP, Mod-Perl, ASP, Python und so weiter.

Je nachdem, ob Sie es auf Harvester oder Spammer abgesehen haben, kann die Webseite auch Links oder Formulare enthalten. Webformulare besitzen meist einen ähnlichen Aufbau, weshalb sie von Spammern einfach auszufüllen sind. Der Prozess lässt sich leicht automatisieren, dennoch beschäftigen viele Spammer dafür auch Menschen mit niedrigem Stundenlohn. Honeypot wertet die Eingaben solcher Formulare aus, um verdächtige Muster zur Spam-Erkennung zusammenzustellen.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023