Linux-servere er spam-bomber på grund af begynderfejl

Der kommer forholdsmæssigt fem gange mere spam fra Linux-mailservere end Windows-servere. Problemet er for åbne porte og manglende kendskab til softwaren.

Linux har et stærk sikkerheds-ry i forhold til Windows-platformen. Men på ét punkt er Linux tilsyneladende en større synder.

En undersøgelse fra Symantec har vist, at mailservere på Linux i gennemsnit udsender fem gange mere spam end Windows-mailservere. Hvorfor det mon var sådan, besluttede en af firmaets virus-analytikere sig for at se nærmere på.

Konklusionen blev, at det meste spam kommer via Linux-computere, hvor der er sløset med opsætningen.

»I de fleste tilfælde kom den spam, jeg undersøgte, fra en maskine med en open source mail transfer agent (MTA), som Postfix eller Sendmail, som var efterladt åbne,« skriver Symantecs Mat Nisbet i et blogindlæg.

Hans teori er, at mange firmaer skifter til open source for at spare penge, men at man måske ikke kender softwaren godt nok til at få sat den sikkert op. For eksempel ved at begrænse adgangen til port 25.

»Sørg for at systemerne er sat rigtigt op til at begrænse adgang på port 25 til registrerede brugere, for eksempel via det lokale netværk eller gennem et virtuelt privat netværk,« anbefaler han.

Nogle botnet kan nemlig selv lede efter servere med en helt åben port 25, så hvis den ikke lukkes bedre af, er man ekstra udsat for at blive ufrivillig spam-maskine.

Brugerne af mail-systemet skal også være oplært i, hvordan proceduren er for at skifte kodeord, skriver Mat Nisbet. Så har de nemlig en chance for at opdage, hvis de får en falsk email, der spørger efter login-oplysninger.

En anden forklaring på den højere spam-andel for Linux-computere er, at mange internetudbydere bruger Linux på serverne, så meget spam-mail vil finde vej gennem en Linux-maskine, når det bliver sendt ud.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kenneth Østrup

Ja, det er da selvmål!

Der må være noget helt faktuelt forkert i denne artikel.

Jeg tror, at størstedelen af de tilfælde som nævnes i artiklen, er opstået via web exploits (manglende input validation, url inclusion f.eks.). Dem har jeg set hundredevis af tilfælde på.

Vi skal forhåbentligt helt tilbage til 'det vilde internet westen' for at finde et open relay!

Mikkel, hils Mads ;)

  • 3
  • 0
Anders Rosendal

"En anden forklaring på den højere spam-andel for Linux-computere er, at mange internetudbydere bruger Linux på serverne, så meget spam-mail vil finde vej gennem en Linux-maskine, når det bliver sendt ud."

Betyder det at hvis en bruger sender spam ud og hans internetudbyder benytter Linux, så tæller det som en linux spam?
I så fald synes jeg artiklen fejler.

  • 3
  • 0
Jimmy Frydkær Dürr

Man mangler ord for den himmelråbende dårlige research, der ligger bag "artiklen" - HVIS det er tilfældet, at der kommer flere spam-mails fra *nix-postservere skyldes dette efter al sandsynlighed, at *nix-servere er langt mere udbredt end en hvis anden platform fra Redmond.

"Artiklen" mangler, i dén grad, bevisførelse for de fremsatte påstande i form af links til officielle undersøgelser, som dokumenterer, at de fremsatte påstande er gyldige for andre end en enkelt, sandsynligvis uvidende, medarbejder hos et firma, Symantec, som jo ellers forstår at promovere sig selv, trods deres badware virus scanner/Security software.

Men - Come on folks. Lad os bashe GNU/Linux noget mere, så vores egen bedagede "teknologi" fremstår som brugbar.

Ak - Hvor useriøst. Lader V2 ALT slippe ukritisk igennem?

  • 3
  • 0
Anders Sørensen

Artiklen citer korrekt, men skribenten skriver forkert.

Der er ikke ment, at man skal lukke port 25, men at man skal begrænse den.
Hvis folk ikke tror på det, kan de jo altid vælge at lade port 25 "stå åben".
Og rolig nu, fanbois, det er ikke bash af linux eller windows er bedre etc. Det er at mange mennesker springer sig ud i noget, uden at have baggrundensviden i orden.

  • 0
  • 0
Jesper Kildebogaard

Hvis undersøgelsen og de konklusioner, Symantec har draget, ikke giver mening, vil jeg gerne rette op på det i artiklen.

Her er blogindlægget med vurderingerne:

http://www.symantec.com/connect/blogs/messagelabs-intelligence-elaborate...

Og den undersøgelse, der ligger bag tallene (PDF-fil):

http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf

venlig hilsen

Jesper
Version2

  • 0
  • 0
Peter Lind

Hmmm, efter at have læst PDFen må jeg indrømme at jeg tror en enkelt detalje eller to i artiklen bør ændres.

En undersøgelse fra Symantec har vist, at mailservere på Linux i gennemsnit udsender fem gange mere spam end Windows-mailservere.

Nej, der står nu i undersøgelsen at der er 5 gange større chance for at en given Linux maskine sender spam end en Windows maskine. Deres pointe er, at antallet af Linux maskiner, der sender spam, er højere i forhold til det samlede antal Linux installationer end det modsvarende hos Windows.
Da market share for Linux (ifølge PDFen) er på ca. 1% så skal der så heller ikke så meget til for at flytte på procentdelen af alle Linux-maskiner, der er inficerede.

  • 0
  • 2
John Anker Corneliussen

Før nogen seriøst går i gang med at opsætte mailservere skal man nok lige starte med at læse på rfc 2821. Selv en exchange eller havd man nu ser som sin yndlings mailserver vil have noget tilknyttet opsætning som afhænger af det miljø den er plantet i.
Når jeg så kigger i min log ( min yndlings mailserver hedder postfix ) og kigger hvad der anvendes som for eksempel helo name vs reverse ip - eller andre morsomhedder som origin på received trace på spam så ser jeg flest bots !

Hvis man har et setup som jeg har med en indre exchange og en postfix from med spamassassin - så skal man huske at lave sig et backscattering filter som checker for valide modtage mailadresser i front.

Hvis ikke laver man med meget stor sandsynlighed vældige mængder af spam.

hos os vil 1 ud af 12 være valide recipients - de sidste 11 ville havne som ndr til de stakkels afsenderadresser ...

men det er nok sandt at man skal læse lidt på lektien når man anvender ting man ikke har undersøgt grundigt nok.

men læg mærke til at det er arkitekturen der giver behovet.

Backscattering strategien afhænger af ens opkopling.

Antag din mailserver er beskyttet af din udbyders blokkering af port 25 ...

hvis din mailserver ikke "sluger" mails til ikke eksisterende brugere men i stedet tvinger den sekundære mx til at lave ndr har du situationen med at udbyderen laver backscatteing. - derfor i den situation skal man lave en mailbox lam@dyt.båt som skal æde *@dyt.båt for ukendte brugere istedet for at tvinge backup mx til backscattering.

backup mx vil jo forsøge at videresende alt til din server ...

har man selv primær mx flytter man backscatter filteret i front.

Når man så kigger lidt nærmere på de håndtag man har at rive i på en postfix for at kontrollere usernames, helo name etc - så vil man se at man kan styre flow med temmelig hård hånd.

Personligt ville jeg aldrig have en exchange i front når jeg kan have en postfix - om så det er en postfix verson 1 som er 7 år gammel !

Meen jeg kan kun på det varmeste anbefale at læse dokumentationen på det vidunderapparat man har anskaffet sig til at løfte opgaven - og igen lige krydschecker med rfc 2821 for at se om det setup man har lavet sig lever op til "normerne" for adfærd ved brug af smtp.

  • 1
  • 0
Anders Rosendal

"One problem is that some ISPs force all their users’ mail to go through their ‘smarthosts’, which are often run on Linux systems. This means that a lot of botnet traffic which we would normally identify as something else, instead appears to be coming from Linux."

Hvorfor er det et "problem"?
Det eneste problem er at fyren ved symantec ikke længere kan konkludere det han vil så nemt.

Langt mere interessant og brugbart ville være hvis man talte procentvis af open relays på windows og linux.

  • 1
  • 0
John Anker Corneliussen

Det er et problem fordi isp's mailhost formentligt er sat korrekt op så man ikke kan slagte botten når den connecter direkte.

Isp vi skulle stramme op på protokollen fra den forwardede trafik.

men eftersom helo name fra for eksempel en outlook klient der sender post ikke opfylder rfc 2821 mht helo name (fqdn betingelsen) kan det være lidt problematisk ikke at forwarde al trafik fra sit net ...

hvis isp ikke blokkerede udgående port 25 ville bots være nemmere at identificere.

igen vil jeg pege på backscattering problematikken som kan være ansvarlig for temmelig meget båndbredde ren larm.

Når nu rfc'en siger at man sender ndr på mails der ikke kan afleveres - og man kan se at 1100 % af den mail der ville ramme ens mailserver er med invalide modtagere - skal man så ikke bare sylte al den trafik - og finde andre veje når en mailadresse skal udfases osv ? - i denne beregning er 100% den mail der har "lovlige" modtageradresser - og btw ud af den mail er ca. 80% spam ...

Så for mig at se ligger spamtrykket på op imod 5000% når man medregner botgenereret backscatter

heldigvis ser brugerne kun de 80% spam - samt det backscatter som tilfældigvis har deres mailadresse som afsender.

  • 0
  • 0
Jonas Larsen

Bare lige for at vise hvor latterligt symantec er, findes det plugins/rules til spamassasin (nok det mest brugte spamfilter i verden) der giver point (med point nok bliver en mail blokeret) til en mail hvis den er afsendt af en windows maskine. Netop fordi en kæmpe andel af spam kommer fra windows maskiner, især desktop maskiner. Så ved at anvende det faktum at en mail fra en windows maskinemere sandsynligt er spam end ethvert andet afsender OS, kan man faktisk bedre blokere spam...

Så enten er der noget der er misforstået i artiklen/bloggen eller også er det bevidst vildledende.

/Jonas

  • 2
  • 0
Anonym

Et typisk setup på et webhotel er, at webapplikationen har uhindret adgang til mail (uden auth).

Så det handler 'bare' om at finde et hul, så man kan eksekvere remote code.

Hvis man kigger lidt i sine logfiler, er det nemt at finde utallige eksempler på 'mass-mailer' PHP kode.

Da PHP er mest udbredt på Linux, er det vel logik for burhøns, at det er Linux der står for en rimelig stor andel (%-vis).

Problemet er, at man ikke har auth, da 'sourcen' er på indesiden af LAN'et.

Det er nok ikke alt smap der kommer fra brugernes PC'ere.

Her er en snippet, hvor man kan tænke over hvad den skulle bruges til:
[code=php]
<?php
$testa = $_POST['veio'];
if($testa != "") {
$message = $_POST['html'];
$subject = $_POST['assunto'];
$nome = $_POST['nome'];
$de = $_POST['de'];
$to = $_POST['emails'];

$headers  = &quot;MIME-Version: 1.0\r\n&quot;;  
$headers .= &quot;Content-type: text/html; charset=iso-8859-1\r\n&quot;;

$email = explode(&quot;\n&quot;, $to);  
$headers .= &quot;From: &quot;.$nome.&quot; &lt;&quot;.$de.&quot;&gt;\r\n&quot;;  
$message = stripslashes($message);

$i = 0;  
$count = 1;  
while($email[$i]) {  
    $ok = &quot;ok&quot;;  
    if(mail($email[$i], $subject, $message, $headers))  
    echo &quot;* N&amp;#250;mero: $count &lt;b&gt;&quot;.$email[$i].&quot;&lt;/b&gt; &lt;font color=green&gt;OK&lt;/font&gt;&lt;br&gt;&lt;hr&gt;&quot;;  
    else  
    echo &quot;* N&amp;#250;mero: $count &lt;b&gt;&quot;.$email[$i].&quot;&lt;/b&gt; &lt;font color=red&gt;ERRO AO ENVIAR&lt;/font&gt;&lt;br&gt;&lt;hr&gt;&quot;;  
    $i++;  
    $count++;  
}  
$count--;  
if($ok == &quot;ok&quot;)  
echo &quot;&quot;; 

}

?>
[/code]

  • 0
  • 0
Log ind eller Opret konto for at kommentere