Bisher ist es eigentlich nur der Provider cantv.net, welcher seine Blacklist verwendet und unsere IP 178.63.159.40 und dessen Netz blockiert:

: host relay.cantv.net[200.44.xx.xx] said: 550 5.7.1
... Mail from 178.63.159.42 refused: Vea
http://abuso.cantv.net/bl/dul.html (in reply to RCPT TO command)


Eine Austragung oder anschreiben über andere IPs bringt zwar keine Ablehnung, aber kein Erfolg.
Vor allem eine Abfrage ergibt, das die IP als reserviert gilt:

Results for the search of 178.63.159.42 (mail2.blocklist.de) performed on Tuesday, August 16 2011, 19:58:31 (-0400)
Listed in dul "178.63.159.42 :4:178.63.159.42 IANA - Reserved (Apr 03) - 1099947478"

This entry was included in our database on Monday, November 8, 16:57:58 2004 (-0400)

Der Provider wurde von uns ein paar Mal über das Kontaktformular angeschrieben, aber dort scheint man seit 2003/2004 nicht mehr an der Liste zu arbeiten 🙁
Und ein Cert ist uns für Venezuela (VE) nicht bekannt, wodurch man Kontakt aufnehmen könnte.

Ebenso gibt es auch den Provider telkom.net.id aus Indonesien, wo selbst das zuständige Cert keine Kontakte hat und niemand erreicht. Auch über die FaceBook-Seite oder Twitter, reagieren die Mitarbeiter dort nicht. Solche Provider sollte man echt vom Internet ausschließen, so wie die Spam-/Bulletproof-Hoster oder man sollte bei ipv6 strengere Richtlinien einführen, damit solche Provider die IPs entzogen werden (Träum).

[UPDATE 18.09.2011]

Wir haben nun eine Transport-Regeln und einen neuen smtp-Eintrag mit der alten Haupt-IP des Servers erstellt. Nun gehen alle Nachrichten über die alte IP, welche schon damals vergeben war und kommen nun an.
Die Transport-Regel müssen wir dann für jede Empfänger-Domain, welche die Liste einsetzte erweitern (sind nur 2 bisher).

Aktuell melden auch alle anderen News-Seite wie heise.de, Golem.de, zeit.de, stern.de oder netzwelt.de, das Rewe Hackern zum Opfer gefallen ist.

Wir haben Rewe und heise am 03.07.2011 um 03:24 Uhr auf die Sicherheitslücke hingewiesen:

---------------------------
Message-ID: <4E0FC4A5.1010600@blocklist.de>
Date: Sun, 03 Jul 2011 03:23:49 +0200
From: www.blocklist.de <xxx@blocklist.de>
To: info@xxx, impressum@xxxx, newstips@heise.de
Subject: Schwere Sicherheitslücke (SQLi) auf der Rewe-Seite
......
---------------------------

Nach dem wir keine Antwort von den drei Adressen erhalten haben, haben wir uns zusätzlich an die Redaktion von Gulli gewendet.
Diese haben unsere Mail am 11.07.2011 erhalten und dann am 14.07.2011 einen Artikel veröffentlicht:
http://www.gulli.com/news/16602-rewede-schwere-sqli-sicherheitsluecke-bleibt-trotz-hinweis-bestehen-2011-07-14

Die SQLi-Lücke selbst war bereits seit dem 02.07.2011 gegen 19 Uhr in mehreren Hacker-Foren bekannt.

[20.07.2011 12:37 Uhr UPDATE]

Received: from x
	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by server5.customer-config.de (Postfix) with ESMTPSA id 388C22F0F1E;
	Wed, 20 Jul 2011 12:40:21 +0200 (CEST)
Message-ID: <4E26AFFC.60009@blocklist.de>
Date: Wed, 20 Jul 2011 12:37:48 +0200
From: "www.blocklist.de" <root@blocklist.de>
To: root@blocklist.de
CC: impressum@rewe-group.com
BCC: ein paar Newsseiten
Subject: Re: WG: Schwere =?ISO-8859-1?Q?Sicherheitsl=FCcke_=28SQLi=29_?=
 =?ISO-8859-1?Q?auf_der_Rewe-Seite?=

Hallo,

anscheinend sind noch weiter Seiten von rewe betroffen (noch nicht 
verifiziert):
http://pastebin.com/zk97rTUL
-> lfi
dort stehen Datenbank-User und pwd im Klartext von der localconf.php.

best regards

Vor einiger Zeit habe ich in dem Artikel „Aktuelle Zahlen von blocklist“ die Zahl der User, Server, Attacken und des Traffics bekannt geben.

Drei Monate später sehen die Zahlen wie folgt aus:

User: 182

Server: 234

Angriffe: 1 000 273

Reports: 711 952

Tägliche Mails: 15 000 bis 29 000

Web-Traffic: ~3.9 GB

Der komplette Traffic mit Export-Listen, Mails (In + Out) und RBLDNS beträgt ~22GB (das Forum ist darin nicht enthalten).

Dazu kommen dann noch einmal 24GB interner Traffic zwischen dem Mail-/Web- und MySQL-Server.

Das sind zusammen pro Monat ca. 50GB Traffic im Monat.

Man sieht das blocklist immer weiter wächst und immer mehr teilnehmen, was total cool ist. Ich hätte nie gedacht, das es mal so groß wird 🙂

Wobei die Zahlen nur die aktuelle DB von den Angriffen beinhalten, aber fast alle Reports.

Über den Dienst „BadBots“ erhalten wir viele URLs und Links, welche Spamer in unseren  Honeypot-Wiki und Foren eintragen. Die Foren und Wikis erlauben dort das Posten ohne Registrierung, allerdings werden die Einträge nicht öffentlich gespeichert und sofort über blocklist.de reportet.

Bei den Spam-URL’s, nutzen die Spamer aus, das man in seinem Profil HTML und Bilder verwenden kann (Screenshots weiter unten).

Mit diesem wird dann das Bild über den Rest der Seite gelegt:

<h2>Über mich</h2>
<div style="padding: 5px 150px; background: rgb(255, 255, 255) none
repeat scroll 0% 0%; overflow: visible; z-index: 2147483647; position:
absolute; left: 0pt; top: 0pt; width: 980px; height: 2000px; font-size:
16pt;">
<strong><span style="font-family:Times New Roman;"><span
style="color:#FF0000;"><span style="font-size:x-large;"><font>THIS SITE
IS INTENDED FOR ADULTS ONLY!</font></span></span></span></strong>
<br>
<br>
<br>
<img alt="" src="http://nsrecord.org/pics/lol.jpg">
<br>
<a href="http://1k.pl/hifive"><img alt=""
src="http://nsrecord.org/pics/exit.jpg"></a> <a
href="http://1k.pl/hifive"><img alt=""
src="http://nsrecord.org/pics/enter.jpg"></a>
<br><br><br>


Dabei verweisen alle Links immer zu der Domain 1k.pl dort wiederrum ist ein Nachbau von youporn-Site aber alle Links dort verweisen auf eine xxxFlashxxxxx12323324234xxxxplayer.exe, welche sehr wahrscheinlich ein Trojaner ist.

[Edit]: die Datei wird aktuell nur von Symantec als Trojan.FakeAV!gen54 erkannt (Bei VirtusTotal 3 von 41).

[EDIT]: Mittlerweile wird auch Google zum weiterleiten verwendet und nicht nur noch 1k.pl:

http://www.google.com/url?sa=D&q=http://xxxx.com/xx/lxxxlla&usg=AFQjCNG0gcHHQ9Ob-o9RVRj6bslE6ORZCA

Allerdings meldet google nur das weitergeleitet wird und leitet automatisch um. Wenn man nur den Domainnamen eingibt, kommt die Warnung zum anklicken.

Betroffen sind folgende Dienste/Portal:

Counts | Url/Host

• 4819 abduzeedo.com
• 4571 my.opera.com
• 3246 technorati.com
• 2801 www.continental-furnishing.org
• 2799 www.us.splinder.com
• 2534 forum.ea.com
• 953 about.me

gehackt:

normal:

Die Top-Portale haben wir über die Konakt-Seite oder vorherigen Adressen angeschrieben.

Zwei (Opera und www.elakiri.com) haben die Liste von den URLs bereits erhalten und danach gefragt.

Mal schauen ob die anderen antworten. bzw. wir arbeiten daran über X-ARF die einzelnen URLs über das Schema Fraud automatisiert zu reporten.

Das Tor-Netzwerk ist echt was gutes in Sachen Anonymität usw., aber wenn pro Tag von gut 10 unterschiedlichen Tor-Exit-Servern versucht wird meine Webseite zu hacken (RFI), ist das nicht mehr in Ordnung.

Die meisten solcher IP-Adressen stehen bereits dauerhaft auf unser Blacklist.

VPN-Anbieter sind ebenso so schlimm. Verlangen meist Geld und wollen (können) dann die Abuse nicht verwarnen oder den Account sperren.

Wenn man so etwas machen möchte, empfehlen wir ein eigenes Netz (AS) zu holen, dann kann man dieses sperren und in die Blacklist eintragen. Somit gehen für dieses Netz keine Reports raus und es ist auf den Blacklisten gelistet.

Wenn natürlich die Server in unterschiedlichen Netze stehen und nicht gewhitelistet sind, werden diese nach einem Angriff reportet und das unter Umständen an den Provider, wenn keine abuse-mailbox-Eintrag im Whois vorhanden ist oder wir keine Abuse-Adresse finden konnten oder der Whois-Server ein timeout/limit hatte.

VPN und Tor-Betreiber, überlegt euch doch was um die User, welche eure System missbrauchen zu sperren oder Ausgrenzen. Es schadet nur eurem Netzwerk (Provider) welches halt irgendwann als merkbefreit abgestempelt wird.

Man sollte mal schauen, wenn ein solcher Server eine große Webseite hackt und diese dann Anzeige erstatten, ob der Server nur beschlagnahmt wird……

Wir haben soeben (07.04.2011 T00:40) aus dem Betreff das [noreply] entfernt um mal zu schauen, wie viele und vor allem welche Hoster antworten.

Wir werden diesen dann versuchen zu zeigen, ob sie nicht x-arf automatisiert verarbeiten wollen.

Viele Antworten ja bisher auch beim noreply, wobei eine Austragung automatisch nach 24 Stunden nach dem letzten Angriff geschieht, bzw. selbst durchgeführt werden kann:

http://www.blocklist.de/de/delist.html

Das Ergebnis in genau einer Woche werden wir dann im Blog veröffentlichen.

Wir wurden von einem User angemailt, das wir für sein Netzwerk die falsche Abuse-Adresse verwenden.
Zu der IP im Betreff, wurde die korrekte abuse-mailbox-Adresse verwendet.
Erst nach mehreren Rückfragen, konnten wir dann feststellen welches Netz er meinte, da die sonst genannten IP-Adressen und deren Reports alle die korrekte abuse-mailbox aus dem Whois verwendet hatten.

Wir haben Ihm dann mitgeteilt, das wir nur für Empfänger-Adressen oder AS-Nummern die Adressen umschreiben oder die Reports blockieren können.
Darauf hin lies er uns drei AS-Nummern von drei großen Hoster zukommen und hat uns doch gebeten für diese die Reports zu deaktivieren.

.
nenenenenen 😐

Da wir ab und zu Rückmeldungen erhalten, das z.B. die Bezeichnung „dDOS“ bei einer einzelnen IP-Adresse falsch ist, hier einmal eine kurze Erklärung warum die Bezeichnung richtig ist:

ApacheDDOS:

Auf eine einzelne Domain oder IP-Adresse greifen sehr viele unterschiedliche IP-Adressen (dDOS) zu. Diese werden mit Fail2Ban über bestimmte Merkmale wie bestimmte UserAgent (Firefox 1.x, 2.x) oder bestimmte URL-Aufrufe: domain.tld/datei-gibts-nicht.txt ermittelt und gesperrt.
Diese werden dann von uns nach mehr als (default) 4 Aufrufe reportet.
Aus der Sicht des Empfängers der Reports, sieht es nach einem DOS aus (da ja nur eine IP gemeldet wurde). Aus der Sicht der betroffenen Server, ist es natürlich ein DDOS.

Liebe Empfänger von einem ApacheDDOS-Report: bitte prüft die Clients, da diese mit einem Trojaner infiziert und Teil eines Bot-Netzes sind.

enter

enter

enter

BadBots:

Dies sind IP-Adressen, welche auf Honeypot-Foren, Honeypot-Wikis oder Honeypot-Domains mit Gästebücher oder Kommentar-Funktion Einträge erstellen, welche andere URL’s (buy Viagra….) bespammen.
Hier werden viele Kommentare manuell über VPN-Dienstleister vorgenommen.
Und ja, ein Kommentar in einem Blog mit z.B.:
[url=http://www.tramadol2011.co.cc]morphine tramadol dosage equivalent[/url]
[url=http://www.tramadol2011.co.cc/link/tramadol/1_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/1_pharma.png[/img:61396c6b8b][/url]

[url=http://www.tramadol2011.co.cc/link/tramadol/2_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/2_pharma.png[/img:61396c6b8b][/url]

[url=http://www.tramadol2011.co.cc/link/tramadol/3_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/3_pharma.png[/img:61396c6b8b][/url]

Ist genauso schlimm wie SPAM!

enter

enter

enter

postfix:

Dies sind hauptsächliche Meldungen durch bereits mehrfache 5xx-Meldungen.
Wenn ein Mailserver harte Fehler wie z.B. folgenden nicht versteht, ist dieser falsch konfiguriert oder ein Bot:
Mar 13 10:14:03 server5 postfix/smtpd[27364]: NOQUEUE: reject: RCPT from unknown[211.147.3.74]: 554 5.7.1 Service unavailable; Client host [211.147.3.74] blocked using xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=211.147.3.74; from=<anwalttzv @gmx.de> to=<info@domain.tld> proto=SMTP helo=<gmx.de>
Und auch wenn dadurch die Annahme der Spammail unterbunden wurde, ist der PC/Server trotzdem infiziert und sendet an einen anderen Server, welcher nicht spamhaus.org einsetzt eine Spammail!

enter

enter

enter

regbot:

Sind IP-Adressen, welche sich automatisiert (Bot halt) bei einigen Honeypot-Foren registrieren.

Auf den Seiten steht in h2 geschrieben, das alle Registrierungen und Postings reported werden. Die meisten IP-Adressen sind auch auf http://stopforumspam.com gelistet und werden an SFS weitergeben.

Aktuell haben wir 128 User, welche insgesamt 184 Server eingetragen haben.

Diese wiederum haben bisher mehr als 632.100 Angriffe gemeldet, wodurch 397.141 Reports generiert wurden.

Der Server von blocklist.de empfängt täglich zwischen 13.000 und 18.000 Mails von den Server, welche beim Projekt teilnehmen.

Der http-Traffic beläuft sich täglich auf fast 2GB (ohne die Listen). Der komplette Traffic mit Export-Listen und RBLDNS beträgt 8GB (das Forum ist darin nicht enthalten).

Wie vielleicht manchen User bereits durch die automatischen Antworten erfahren hatten, war ich fast 4 Wochen im Urlaub und hatte nur sehr selten Internet (ab und an per wifi aufm Handy).

BlockList.de lief soweit ich an den Statistiken und Nagios-Mails sehen konnte ohne große Probleme stabil durch.

Ab nächster Woche, kann ich dann auch die arbeiten wieder aufnehmen und weiter entwickeln und gestalten.

Für Wünsche, Verbesserungsvorschläge usw. bin ich wie immer offen 🙂

Mfg Martin