/dev/null - Overig

Adreswijziging localhost

25-10-2011, 21:57 door Erik van Straten, 5 reacties

Vandaag ontving ik een spam e-mail waaruit blijkt dat localhost ook op andere dan de bekende reeks (127.*.*.*) te bereiken is:
[quote]C:\>nslookup 113.166.7.193
Server: resolver.xs4all.nl
Address: 194.109.6.66

Name: [b]localhost[/b]
Address: 113.166.7.193[/quote]
E.e.a. blijkt uit de headers van de spam (waarvan de body begint met "Goede midag", en de obfuscation middels "#" is door mij aangebracht):
[quote]Return-Path: <jeanette.####@braxies.nl>
[b]Received:[/b] from localhost (localhost [113.166.7.193] (may be forged))
by mxdrop208.xs4all.nl (8.13.8/8.13.8) with SMTP id p9P3af4j047549
for <##########@xs4all.nl>; Tue, 25 Oct 2011 05:36:44 +0200 (CEST)
(envelope-from jeanette.####@braxies.nl)
[b]Received:[/b] from unknown (HELO b3f) ([219.32.197.198])
by localhost with ESMTP; Tue, 25 Oct 2011 10:37:29 +0700
From: "Mabel Dunlap" <jeanette.####@braxies.nl>
To: <##########@xs4all.nl>
Subject: Vacatures in een internationaal bedrijf
Date: Tue, 25 Oct 2011 10:26:56 +0700[/quote]
De tweede Received regel is vervalst door de spammers; de afzendende PC heeft adres 113.166.7.193 en is besmet met de "cutwail" spambot (zie [url]http://cbl.abuseat.org/lookup.cgi?ip=113.166.7.193&.submit=Lookup[/url]).

Als je die tweede Received regel wel zou geloven, zou de volgende, bijna identieke spam die ik eveneens vandaag ontving, daadwerkelijk vanaf een localhost IP adres verzonden zijn:
[quote]Return-Path: <s.######@tnw.utwente.nl>
[b]Received:[/b] from dslb-092-076-157-212.pools.arcor-ip.net (dslb-092-076-157-212.pools.arcor-ip.net [92.76.157.212])
by mxdrop106.xs4all.nl (8.13.8/8.13.8) with SMTP id p9P9wkfr006146
for <##########@xs4all.nl>; Tue, 25 Oct 2011 11:58:48 +0200 (CEST)
(envelope-from s.######@tnw.utwente.nl)
[b]Received:[/b] from unknown (HELO jag) [b]([127.42.188.143])[/b]
by dslb-092-076-157-212.pools.arcor-ip.net with ESMTP; Tue, 25 Oct 2011 12:01:08 +0100
From: "Leonora Hutchinson" <s.######@tnw.utwente.nl>
To: <##########@xs4all.nl>
Subject: We hebben nodig een manager
Date: Tue, 25 Oct 2011 11:52:09 +0100[/quote]
Vanzelfsprekend is 92.76.157.212 ondertussen ook geblacklist (zie [url]http://cbl.abuseat.org/lookup.cgi?ip=92.76.157.212&.submit=Lookup[/url]).

Zeer irritant aan deze mails is dat het op lijkt dat bestaande gebruikers (jeanette.####@braxies.nl en s.######@tnw.utwente.nl) ge-Joe-jobbed worden, in de zin van dat zij NDR's (Non Delivery Reports) krijgen als de spam niet kan worden afgeleverd (als mijn e-mail adres niet meer zou bestaan).

Het enige verschil tussen de bodies van beide spams waren de volgende e-mail adressen waar je je kunt melden als je geen onderscheid maakt tussen een CV en een strafblad:

carolinacardozo@hrcmsalary.com
sulyrodriguez@hrcmsalary.com

De mail exchanger voor hrcmsalary.com is mx.yandex.ru (met naar keuze: 77.88.21.89, 87.250.250.89, 93.158.134.89, 213.180.204.89).
Aanvulling: he wat dom van me, nou ben ik vergeten die laatste twee mailadressen te obfuscaten...

Reacties (5)
25-10-2011, 22:36 door Ilja. _V V
Door Erik van Straten: Aanvulling: he wat dom van me, nou ben ik vergeten die laatste twee mailadressen te obfuscaten...
:-)))
26-10-2011, 09:41 door SirDice
Vandaag ontving ik een spam e-mail waaruit blijkt dat localhost ook op andere dan de bekende reeks (127.*.*.*) te bereiken is:
Ja, dus? Je kunt de hele 127/8 reeks gebruiken. Ik zou toch verwachtten dat je dat al wist.
26-10-2011, 11:04 door SirDice
Had nog niet genoeg koffie op...

En verder kun je elk adres (die je beheert) laten resolven naar localhost.


$ORIGIN .
$TTL 86400 ; 1 day
1.168.192.in-addr.arpa IN SOA ns.example.com. root.example.com. (
2011041348 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600 ; expire (1 hour)
86400 ; minimum (1 day)
)
NS ns.example.com.
$ORIGIN 1.168.192.in-addr.arpa.
1 PTR localhost.example.com.
2 PTR localhost.
234 PTR complete.onzin.verzin.maar.wat.
root@maelcum:~#dig @192.168.1.1 -x 192.168.1.2

; <<>> DiG 9.6.-ESV-R4-P1 <<>> @192.168.1.1 -x 192.168.1.2
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46860
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;2.1.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
2.1.168.192.in-addr.arpa. 86400 IN PTR localhost.

;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400 IN NS ns.dicelan.home.

;; Query time: 3 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Oct 26 11:09:47 2011
;; MSG SIZE rcvd: 94

root@maelcum:~#dig @192.168.1.1 -x 192.168.1.234

; <<>> DiG 9.6.-ESV-R4-P1 <<>> @192.168.1.1 -x 192.168.1.234
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31055
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;234.1.168.192.in-addr.arpa. IN PTR

;; ANSWER SECTION:
234.1.168.192.in-addr.arpa. 86400 IN PTR complete.onzin.verzin.maar.wat.

;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400 IN NS ns.dicelan.home.

;; Query time: 4 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Oct 26 11:09:55 2011
;; MSG SIZE rcvd: 117

root@maelcum:~#
26-10-2011, 21:09 door Erik van Straten
Door SirDice: Had nog niet genoeg koffie op...
;)
En verder kun je elk adres (die je beheert) laten resolven naar localhost.
Weet ik, en niet alleen naar localhost zoals je laat zien, en ik weet ook dat in de praktijk beheerders hun frustraties botvieren op hun DNS server instellingen.

Rommel rammel klik klak, even een archiefschijf aangesloten, 't is bijna 10 jaar geleden, tijdens een onderzoekje naar uitgebreide portscans vanaf 216.123.73.95 (dat was toen en is nu nog steeds een IP adres in Canada, en in de log hieronder heb ik de irrelevante responses van de gebruikte DNS server verwijderd):
dutndo7:~$ date
Sun Jan 6 02:42:08 CET 2002
dutndo7:~$ nslookup 216.123.73.95
Name: arab-lesbians.org.il
Address: 216.123.73.95

dutndo7:~$ nslookup 216.123.73.96
Name: pimpin.some.arab-lesbians.org.il
Address: 216.123.73.96

dutndo7:~$ nslookup 216.123.73.97
Name: I.wish.I.knew.lots.of.arab-lesbians.org.il
Address: 216.123.73.97

dutndo7:~$ nslookup 216.123.73.98
*** <DNS server> can't find 216.123.73.98: Non-existent host/domain

dutndo7:~$ nslookup 216.123.73.94
*** <DNS server> can't find 216.123.73.94: Non-existent host/domain
dutndo7:~$ date
Sun Jan 6 02:42:29 CET 2002
Een half jaar later, kort na het door Microsoft uitbrengen van patch MS02-037 ("Originally posted: July 24, 2002"), realiseerde ik me dat een gemanipuleerde en veel te lange response op reverse lookup wel eens tot remote code execution op SMTP servers zou kunnen leiden, zie onderstaand tekstbestandje met wat aantekeningen:
20020726 17xx

http://www.microsoft.com/technet/security/bulletin/MS02-037.asp

"The relevant industry standard places a maximum on how long an FQDN can be,
and in most cases this value is smaller than what’s needed to overrun the
buffer. Thus, standards-compliant DNS servers likely would not accept the
bogus data."

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q190026

http://www.macroshell.com/html/vhosts.htm

216.123.73.107 --> Hacking.MS.made.their.server.totally-corrupted.com
216.123.73.153 --> 3.gigs.isnt.enough.porn.per.month.so.go.fuck-telstra.com
Die pagina http://www.macroshell.com/html/vhosts.htm bestaat nog, maar de reverse lookups resolven niet meer.

Dus inderdaad, een reverse DNS lookup (van adres naar hostname) levert vaak niets op, en als het wel wat oplevert, kan het complete onzin zijn (bovendien kan het afhangen van de DNS server waar je het aan vraagt). Helaas zijn er ook veel IP-adressen die naar localhost.localdomain resolven.

Dit is allemaal geen ramp (vandaar forum /dev/null) maar het zou spam- en cybercrimefighters wel wat tijd en ergernis besparen als reverse lookups betrouwbaarder zouden werken. Ik liep kort geleden nog tegen een DNS server van een ISP aan die zelf -reverse- niet weet wie hij is, en da's toch wel een beetje jammer.
27-10-2011, 09:01 door SirDice
Door Erik van Straten: Ik liep kort geleden nog tegen een DNS server van een ISP aan die zelf -reverse- niet weet wie hij is, en da's toch wel een beetje jammer.
Als mensen al iets met DNS doen (ook bijv. op interne netwerken) is het meestal alleen de forwards die goed staan. De meeste 'vergeten' de reverse zones correct in te stellen. Er is een duidelijk gebrek aan fatsoenlijke DNS kennis bij het gilde systeembeheerder :((
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.