image

Oplossing voor de FormMail.pl hack

dinsdag 10 juni 2003, 10:36 door Redactie, 10 reacties

Webservers die zonder dat men het weet als Spam Mail relay gebruikt worden kunnen voor vervelende situaties zorgen. Het misbruiken van het bekende perl script FormMail.pl, gebruikt voor het verwerken van webformulieren, is een spam hack waar veel beheerders nog niet vanaf weten. In dit artikel wordt uitgelegd hoe de hack werkt en wat men er tegen kan doen.

Reacties (10)
10-06-2003, 13:10 door Anoniem
Oplossingen:

a) FormMail niet gebruiken;
b) FormMail hernoemen (hutjemetut.pl, whatever);
c) kill-and-rename cgi-bin-directory naar iets niet zo voor de hand liggends (broodmaaltijd, motor, joepie, whatever);
d) weiger directory-listings (zorg er voor dat de inhoud van je cgi/pl-scripts directory niet te listen is).

Waterdicht is het niet, zeker niet wanneer je FormMail gebruikt: maar zal het niet meer zomaar even snel zo gemakkelijk kunnen worden gescanned/gedetecteerd door derden op je site. Tenzij iemand echt persé je site moet hebben en persé opzoek gaat naar het FormMail-ding.

Ik gebruik het in ieder geval niet omdat FormMail tevens het submit-adres in handen geeft van Harvesters ;)
10-06-2003, 13:53 door SirDice
Originally posted by Mpas
Oplossingen:

a) FormMail niet gebruiken;
b) FormMail hernoemen (hutjemetut.pl, whatever);
c) kill-and-rename cgi-bin-directory naar iets niet zo voor de hand liggends (broodmaaltijd, motor, joepie, whatever);
d) weiger directory-listings (zorg er voor dat de inhoud van je cgi/pl-scripts directory niet te listen is).

Waterdicht is het niet, zeker niet wanneer je FormMail gebruikt: maar zal het niet meer zomaar even snel zo gemakkelijk kunnen worden gescanned/gedetecteerd door derden op je site. Tenzij iemand echt persé je site moet hebben en persé opzoek gaat naar het FormMail-ding.

Ik gebruik het in ieder geval niet omdat FormMail tevens het submit-adres in handen geeft van Harvesters ;)

Dit is dus helemaal niet waterdicht. Even de source bekijken van de pagina en je weet zo in welke directory je moet wezen en hoe het script heet. Beter gewoon helemaal niet gebruiken. Security through obscurity werkt niet weet je nog?
10-06-2003, 14:09 door Anoniem
Originally posted by sirdice
Dit is dus helemaal niet waterdicht.
Precies! "Waterdicht is het niet, zeker niet wanneer je FormMail gebruikt" (FormMail haar opzet is immers alles behalve (water)dicht omdat alle gegevens, inclusief submit-adres van buitenaf via HTTP POST worden ingegeven - en daarmee altijd gevoelig voor spam-relaying en/of anderssoortig misbruik)
Even de source bekijken van de pagina en je weet zo in welke directory je moet wezen en hoe het script heet.
Wat schreef ik nu: "Tenzij iemand echt persé je site moet hebben en persé opzoek gaat naar het FormMail-ding. " :)
Beter gewoon helemaal niet gebruiken.
Dat zeg ik: "a) FormMail niet gebruiken;" Maar om het gemekker van mensen voor te zijn die het persé toch tegen beter weten in willen blijven gebruiken: zorg er in ieder geval voor dat het niet zo makkelijk automatisch kan worden gescanned.
Veel skriptkiddie-toolies scannen site's op standaard configuraties namelijk, zoals /cgi-bin/FormMail.pl en varianten.

Bij ons worden zulks verzoeken eigenzinnig beantwoord met een "Vegetables Not Allowed" Error ;)
*LOL*

Μπας
10-06-2003, 14:12 door Anoniem
Originally posted by sirdice
Dit is dus helemaal niet waterdicht. Even de source bekijken van de pagina en je weet zo in welke directory je moet wezen en hoe het script heet. Beter gewoon helemaal niet gebruiken. Security through obscurity werkt niet weet je nog?

Zoals je aan de logs van je webserver kan zien robotten spam-machines robotten het internet af, op zoek naar /formmail.pl. Ik heb ze niet zien zoeken naar /boterham.pl, dus da's een prima idee. Security through obscurity gaat over je telnet op een andere poort draaien, en dat is een slecht idee (een portscan is makkelijker dan een scan op vrije woorden in een url).

Overigens snap ik niet waarom formmail niet gewoon een check doet op de REFERER, of wordt die ook gefaked? Zoja, dan zou hij zelfs de logfile even kunnen checken, of het formulier wel kort en lang genoeg geleden is geladen?

Ik gebruik Formmail niet vanwege de bekendheid van de lekken. Eigen software, heeft het voordeel dat er niet de hele tijd overal over gepubliceerd wordt. (en zo moeilijk is een form-verstuurder nou ook weer niet).

Jelmer
10-06-2003, 14:13 door [Account Verwijderd]
[Verwijderd]
10-06-2003, 14:37 door Anoniem
Originally posted by Unregistered
Overigens snap ik niet waarom formmail niet gewoon een check doet op de REFERER, of wordt die ook gefaked?
Alle plain gegevens die van buitenaf komen zijn te faken. Een eigen HTTP REFERER is dus zonder moeite gemaakt/gefaked/aangepast.
11-06-2003, 00:56 door hekaay
Hallo

Ik ben ook denk ik een slachtoffer van spam mail.

In het Engels had ik al een stuk geschreven op "talk", ten einderaad om 4 uur s'morgens. Met veel pijn en moeite opgezet voor een Amerikaanse site en kwam bij toeval hier terecht.

Samen met m'n dochter deel ik het internet, waarbij mijn computer dus als server functioneert.
Nu heb ik weinig verstand van computers, (kan soms uren met m'n vrouw naar probleem oplossing zoeken) en ben al blij dat hij het doet, maar wat jullie vertellen snap ik al helemaal niets.
Ik las het stuk op ( http://www.net-security.org/article.php?id=503) wat ik direct herkende.
Maar van de daar aangeboden oplossing snap ik echt niets.
Ook heb ik gezocht naar dat FormMail.pl op m'n computer, maar kon niets vinden, laat staan al omnoemen.

Eerst had ik Norton Internet Security, en nu weer als van ouds ZoneAlarm.
Wanneer ik ZA alles hoog zet heb ik nergens last van, Maar kan m'n dochter niet internetten en met medium ben ik weer kwetsbaar voor zo'n aanval.
Ook heb ik Norton antivirus 2002 die constant word geupdatet.

Wie kan een radeloze vader van een puberdochter, die niet zonder internet kan (msm'en) , op een eenvoudige manier hier van af helpen?

M.v.g
Henk en Kathrin ten Napel.
:confused:
11-06-2003, 04:18 door Anoniem
Originally posted by hekaay
Ik ben ook denk ik een slachtoffer van spam mail.

In het Engels had ik al een stuk geschreven op "talk", ten einderaad om 4 uur s'morgens. Met veel pijn en moeite opgezet voor een Amerikaanse site en kwam bij toeval hier terecht.
Het is alleen wel jammer dat je daar verder niet meer op door bent gegaan. Zou je dat alsjeblieft voor alsnog willen doen?
Samen met m'n dochter deel ik het internet, waarbij mijn computer dus als server functioneert.
Nu heb ik weinig verstand van computers, (kan soms uren met m'n vrouw naar probleem oplossing zoeken) en ben al blij dat hij het doet, maar wat jullie vertellen snap ik al helemaal niets.
Dat is vervelend :)
Ik las het stuk op ( http://www.net-security.org/article.php?id=503) wat ik direct herkende.
And? Are you happy with your penis? - of bedoelde je dat niet :D (vergeef m'n droge humor op moment, kom ik straks nog op terug)
Maar van de daar aangeboden oplossing snap ik echt niets.
Ook heb ik gezocht naar dat FormMail.pl op m'n computer, maar kon niets vinden, laat staan al omnoemen.
Ik geloof niet dat dit probleem van FormMail op jullie pc slaat. Maar wat zegt de scan bij http://scan.sygate.com zoals ik daar eerder om vroeg? (kun je desgewenst terug lezen met http://forum.security.nl/showthread.php?threadid=3264) Daar ben ik nu wel benieuwd naar, en kunnen we daar wat mee.
Eerst had ik Norton Internet Security, en nu weer als van ouds ZoneAlarm.
Wanneer ik ZA alles hoog zet heb ik nergens last van, Maar kan m'n dochter niet internetten en met medium ben ik weer kwetsbaar voor zo'n aanval.
Ook heb ik Norton antivirus 2002 die constant word geupdatet.
Heb je misschien nog ergens een oudere peecee slingeren, nog een ouwe pentium ofzo ergens op zolder of verre oom? Dan kun je daar beter een Router van maken -- dat voor jullie opzet denk ik beter zou wezen. (Wordt een ander onderwerp, maar ben ik niet beroerd om daar mee te helpen)
Wie kan een radeloze vader van een puberdochter, die niet zonder internet kan (msm'en) , op een eenvoudige manier hier van af helpen?
Ik wil niet lullig doen hoor maar zou ik beginnen met MSN alvast te slopen. Dat blijkt puur vergif voor menig puber. Ik heb er in ieder geval een leuke meid volkomen door beheerst zien worden, in nadelige zin. Het was een leuke meid, voordat MSN in haar leven kwam, het heeft haar gewoon verpest. Alles kan hè op dat internet, geen grenzen, geen normen, waarden? Nee, het zou verboden moeten worden voor onder de 18. Kon ik dat niet voorkomen dan? Nee joh, ik ben de ouder niet, ik heb die zeggenschap of recht gewoonweg niet -- en dat knaagt, geloof me -- want het is die ouders een rotzorg, zo onverschillig (je bedoelt het goed, maar komt slecht terug -- waardeloos).
Enfin, dan heb je een idee waardoor onderandere mijn humor ernstig verdroogt -- op de proef wordt gesteld. Niks persoonlijks verder.

Maar ik meen het: MSN, ICQ, Yahoo, AOL, hoe dat chat beestje ook mag heten: haal het er af of hou in hemelsnaam feitelijk toezicht als je dochter MSN opstart.

Voor wat betreft je spam/email-probleem wacht ik even je response af op dit mailtje: http://forum.security.nl/showthread.php?threadid=3264
Dan kunnen we hier constructief verder op doorborduren.

Καλα;

Μπας

*Zo, en dan probeer ik nu te gaan maffen :)*
23-06-2003, 20:43 door hekaay
Originally posted by Mpas
Het is alleen wel jammer dat je daar verder niet meer op door bent gegaan. Zou je dat alsjeblieft voor alsnog willen doen?
Dat is vervelend :)
And? Are you happy with your penis? - of bedoelde je dat niet :D (vergeef m'n droge humor op moment, kom ik straks nog op terug)
Ik geloof niet dat dit probleem van FormMail op jullie pc slaat. Maar wat zegt de scan bij http://scan.sygate.com zoals ik daar eerder om vroeg? (kun je desgewenst terug lezen met http://forum.security.nl/showthread.php?threadid=3264) Daar ben ik nu wel benieuwd naar, en kunnen we daar wat mee.
Heb je misschien nog ergens een oudere peecee slingeren, nog een ouwe pentium ofzo ergens op zolder of verre oom? Dan kun je daar beter een Router van maken -- dat voor jullie opzet denk ik beter zou wezen. (Wordt een ander onderwerp, maar ben ik niet beroerd om daar mee te helpen)
Ik wil niet lullig doen hoor maar zou ik beginnen met MSN alvast te slopen. Dat blijkt puur vergif voor menig puber. Ik heb er in ieder geval een leuke meid volkomen door beheerst zien worden, in nadelige zin. Het was een leuke meid, voordat MSN in haar leven kwam, het heeft haar gewoon verpest. Alles kan hè op dat internet, geen grenzen, geen normen, waarden? Nee, het zou verboden moeten worden voor onder de 18. Kon ik dat niet voorkomen dan? Nee joh, ik ben de ouder niet, ik heb die zeggenschap of recht gewoonweg niet -- en dat knaagt, geloof me -- want het is die ouders een rotzorg, zo onverschillig (je bedoelt het goed, maar komt slecht terug -- waardeloos).
Enfin, dan heb je een idee waardoor onderandere mijn humor ernstig verdroogt -- op de proef wordt gesteld. Niks persoonlijks verder.

Maar ik meen het: MSN, ICQ, Yahoo, AOL, hoe dat chat beestje ook mag heten: haal het er af of hou in hemelsnaam feitelijk toezicht als je dochter MSN opstart.

Voor wat betreft je spam/email-probleem wacht ik even je response af op dit mailtje: http://forum.security.nl/showthread.php?threadid=3264
Dan kunnen we hier constructief verder op doorborduren.

Καλα;

Μπας

*Zo, en dan probeer ik nu te gaan maffen :)*


Hallo, ben weer terug op talk.
Wat msn betreft heb je gelijk, maar je kunt niet alles verbieden.
Alleen een kind op goed de gevaren wijzen
en een groot oogje in het zeil houden helpt hopelijk ook.
Op straat en naar school ben ik er ook niet 24 uur bij.
24-06-2003, 14:09 door Anoniem
Originally posted by hekaay
Wat msn betreft heb je gelijk, maar je kunt niet alles verbieden.
Alleen een kind op goed de gevaren wijzen en een groot oogje in het zeil houden helpt hopelijk ook.
Dat is uiteraard zonder meer waar: het draait om toezicht - zodat er ook ergens op wordt gewezen wanneer iets onwenselijk is (bijvoorbeeld chronisch chatten, waardoor school/studie in de verdrukking dreigt te raken, etcetera)
Op straat en naar school ben ik er ook niet 24 uur bij.
Het werkelijke leven versus internet verschillen ten opzichte van elkaar heel erg: een wereld van verschil en excessen waar ze mee om moeten leren gaan.
Wanneer een groot oogje in het zeil wordt gehouden is dat de meest ideale veilige omstandigheid.

Wat zijn eigenlijk de gevaren van (chronisch) chatten - buiten oude smeerlappen?

- vervreemding;
- vereenzaming;
- verslaving;
- norm vervaging;
- remming in de ontwikkeling.

Er zullen vast meer risico's aan kleven, maar worden ze daar wel aan bloot gesteld mits niet afdoende toezicht wordt gehouden.

Chatten is niet geschikt voor socialisering op korte afstand, behalve dan voor functionele doeleinden - dat op zichzelf staand een leerproces kan zijn.
Persoonlijk contact blijft ten alle tijden een pré - voor alle leeftijden.

Buiten dat: leren is ook fouten maken en kan het lastig zijn ergens een grens te trekken, zeker weten. "Hoe ver moet of kan je gaan met uitsluiten, hoe ver moet of kan je gaan met controle/toezicht" - dat betekent continue anticiperen op de situatie. Als het nijgt een onwenselijke (schadelijke) kant op te gaan stuur je harder bij (sluit je meer uit en hou je meer toezicht) dan wanneer het gewoon goed gaat.
Anderzijds moeten ze ook de ruimte hebben tot het maken van fouten.
Het toezicht houden is opzich al een hele verantwoordelijkheid, qua overwegingen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.