Adreswijziging localhost
Vandaag ontving ik een spam e-mail waaruit blijkt dat localhost ook op andere dan de bekende reeks (127.*.*.*) te bereiken is:
[quote]C:\>nslookup 113.166.7.193
Server: resolver.xs4all.nl
Address: 194.109.6.66
Name: [b]localhost[/b]
Address: 113.166.7.193[/quote]
E.e.a. blijkt uit de headers van de spam (waarvan de body begint met "Goede midag", en de obfuscation middels "#" is door mij aangebracht):
[quote]Return-Path: <jeanette.####@braxies.nl>
[b]Received:[/b] from localhost (localhost [113.166.7.193] (may be forged))
by mxdrop208.xs4all.nl (8.13.8/8.13.8) with SMTP id p9P3af4j047549
for <##########@xs4all.nl>; Tue, 25 Oct 2011 05:36:44 +0200 (CEST)
(envelope-from jeanette.####@braxies.nl)
[b]Received:[/b] from unknown (HELO b3f) ([219.32.197.198])
by localhost with ESMTP; Tue, 25 Oct 2011 10:37:29 +0700
From: "Mabel Dunlap" <jeanette.####@braxies.nl>
To: <##########@xs4all.nl>
Subject: Vacatures in een internationaal bedrijf
Date: Tue, 25 Oct 2011 10:26:56 +0700[/quote]
De tweede Received regel is vervalst door de spammers; de afzendende PC heeft adres 113.166.7.193 en is besmet met de "cutwail" spambot (zie [url]http://cbl.abuseat.org/lookup.cgi?ip=113.166.7.193&.submit=Lookup[/url]).
Als je die tweede Received regel wel zou geloven, zou de volgende, bijna identieke spam die ik eveneens vandaag ontving, daadwerkelijk vanaf een localhost IP adres verzonden zijn:
[quote]Return-Path: <s.######@tnw.utwente.nl>
[b]Received:[/b] from dslb-092-076-157-212.pools.arcor-ip.net (dslb-092-076-157-212.pools.arcor-ip.net [92.76.157.212])
by mxdrop106.xs4all.nl (8.13.8/8.13.8) with SMTP id p9P9wkfr006146
for <##########@xs4all.nl>; Tue, 25 Oct 2011 11:58:48 +0200 (CEST)
(envelope-from s.######@tnw.utwente.nl)
[b]Received:[/b] from unknown (HELO jag) [b]([127.42.188.143])[/b]
by dslb-092-076-157-212.pools.arcor-ip.net with ESMTP; Tue, 25 Oct 2011 12:01:08 +0100
From: "Leonora Hutchinson" <s.######@tnw.utwente.nl>
To: <##########@xs4all.nl>
Subject: We hebben nodig een manager
Date: Tue, 25 Oct 2011 11:52:09 +0100[/quote]
Vanzelfsprekend is 92.76.157.212 ondertussen ook geblacklist (zie [url]http://cbl.abuseat.org/lookup.cgi?ip=92.76.157.212&.submit=Lookup[/url]).
Zeer irritant aan deze mails is dat het op lijkt dat bestaande gebruikers (jeanette.####@braxies.nl en s.######@tnw.utwente.nl) ge-Joe-jobbed worden, in de zin van dat zij NDR's (Non Delivery Reports) krijgen als de spam niet kan worden afgeleverd (als mijn e-mail adres niet meer zou bestaan).
Het enige verschil tussen de bodies van beide spams waren de volgende e-mail adressen waar je je kunt melden als je geen onderscheid maakt tussen een CV en een strafblad:
carolinacardozo@hrcmsalary.com
sulyrodriguez@hrcmsalary.com
De mail exchanger voor hrcmsalary.com is mx.yandex.ru (met naar keuze: 77.88.21.89, 87.250.250.89, 93.158.134.89, 213.180.204.89).
Aanvulling: he wat dom van me, nou ben ik vergeten die laatste twee mailadressen te obfuscaten...
En verder kun je elk adres (die je beheert) laten resolven naar localhost.
$ORIGIN .
$TTL 86400 ; 1 day
1.168.192.in-addr.arpa IN SOA ns.example.com. root.example.com. (
2011041348 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600 ; expire (1 hour)
86400 ; minimum (1 day)
)
NS ns.example.com.
$ORIGIN 1.168.192.in-addr.arpa.
1 PTR localhost.example.com.
2 PTR localhost.
234 PTR complete.onzin.verzin.maar.wat.
; <<>> DiG 9.6.-ESV-R4-P1 <<>> @192.168.1.1 -x 192.168.1.2
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46860
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;2.1.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
2.1.168.192.in-addr.arpa. 86400 IN PTR localhost.
;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400 IN NS ns.dicelan.home.
;; Query time: 3 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Oct 26 11:09:47 2011
;; MSG SIZE rcvd: 94
root@maelcum:~#dig @192.168.1.1 -x 192.168.1.234
; <<>> DiG 9.6.-ESV-R4-P1 <<>> @192.168.1.1 -x 192.168.1.234
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31055
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;234.1.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
234.1.168.192.in-addr.arpa. 86400 IN PTR complete.onzin.verzin.maar.wat.
;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400 IN NS ns.dicelan.home.
;; Query time: 4 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Oct 26 11:09:55 2011
;; MSG SIZE rcvd: 117
root@maelcum:~#
Rommel rammel klik klak, even een archiefschijf aangesloten, 't is bijna 10 jaar geleden, tijdens een onderzoekje naar uitgebreide portscans vanaf 216.123.73.95 (dat was toen en is nu nog steeds een IP adres in Canada, en in de log hieronder heb ik de irrelevante responses van de gebruikte DNS server verwijderd):
Sun Jan 6 02:42:08 CET 2002
dutndo7:~$ nslookup 216.123.73.95
Name: arab-lesbians.org.il
Address: 216.123.73.95
dutndo7:~$ nslookup 216.123.73.96
Name: pimpin.some.arab-lesbians.org.il
Address: 216.123.73.96
dutndo7:~$ nslookup 216.123.73.97
Name: I.wish.I.knew.lots.of.arab-lesbians.org.il
Address: 216.123.73.97
dutndo7:~$ nslookup 216.123.73.98
*** <DNS server> can't find 216.123.73.98: Non-existent host/domain
dutndo7:~$ nslookup 216.123.73.94
*** <DNS server> can't find 216.123.73.94: Non-existent host/domain
dutndo7:~$ date
Sun Jan 6 02:42:29 CET 2002
http://www.microsoft.com/technet/security/bulletin/MS02-037.asp
"The relevant industry standard places a maximum on how long an FQDN can be,
and in most cases this value is smaller than what’s needed to overrun the
buffer. Thus, standards-compliant DNS servers likely would not accept the
bogus data."
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q190026
http://www.macroshell.com/html/vhosts.htm
216.123.73.107 --> Hacking.MS.made.their.server.totally-corrupted.com
216.123.73.153 --> 3.gigs.isnt.enough.porn.per.month.so.go.fuck-telstra.com
Dus inderdaad, een reverse DNS lookup (van adres naar hostname) levert vaak niets op, en als het wel wat oplevert, kan het complete onzin zijn (bovendien kan het afhangen van de DNS server waar je het aan vraagt). Helaas zijn er ook veel IP-adressen die naar localhost.localdomain resolven.
Dit is allemaal geen ramp (vandaar forum /dev/null) maar het zou spam- en cybercrimefighters wel wat tijd en ergernis besparen als reverse lookups betrouwbaarder zouden werken. Ik liep kort geleden nog tegen een DNS server van een ISP aan die zelf -reverse- niet weet wie hij is, en da's toch wel een beetje jammer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
