Hanno's blog

Today heise security brought a news that a growing number of old wordpress installations get's misused by spammers to improve their pagerank. I've more or less waited for something like that, because it's quite obvious: If you have an automated mechanism to use security holes in a popular web application, you can search for them with a search engine (google, the mighty hacktool) and usually it's quite trivial to detect both application and version.

This isn't a wordpress-thing only, this can happen to pretty much every widespread web application. Wordpress had a lot of security issues recently and is very widespread, so it's an obvious choice. But other incidents like this will follow and future ones probably will affect more different web applications.

The conclusion is quite simple: If you're installing a web application yourself, you are responsible for it! You need to look for security updates and you need to install them, else you might be responsible for spammers actions. And there's no »nobody is interested in my little blog«-excuse, as these are not attacks against an individual page, but mass attacks.

For administrators, I wrote a little tool a while back, where I had such incidents in mind: freewvs, it checks locally on the filesystem for web applications and knows about vulnerabilities, so it'll tell you which web applications need updates. It already detects a whole bunch of apps, while more is always better and if you'd like to help, I'd gladly accept patches for more applications (the format is quite simple).

With it, server administrators can check the webroots of thier users and nag them if they have outdated cruft laying around.

I got some spam in the comment fields of my blog that raised my interest.

Some sample how they looked like:
http://www.unicef.org/voy/search/search.php?q=some+advertising%3Cscript%3Eparent%2elocation%2ereplace%28%22http%3A%2F%2Fgoogle%2ede22%29%3C%2Fscript%3E

I've replaced the forwarding URL and the advertising words (cause I don't want to raise interest on spammers pages). I got several similar spam comments the following days all with the same scheme. Using a Cross Site Scripting vulnerability, mostly on pages that might raise trust to forward to a medical selling page.

This is probably a good reason why XSS should be fixed, no matter what attack vectors there are. It can always be used by spammers to use your pages fame / authority to advertise their services. Same goes for redirectors or frame injections. Some where already reported at some public place (for the above see here). I've re-reported them all, but got just one reply by a webmaster who fixed it. True reality on the internet today, even webmasters of famous public organizations don't seem to care about internet security.

For the record, the others:
http://adventisthealth.org/utilities/search.asp?Yider=<script>alert(1)</script>
http://www.loc.gov/rr/ElectronicResources/search.php?search_term=<script>alert(1)</script>

And thanks to iconfactory, they fixed their XSS.

Well, I usually don't tend to blog the content of my spam inbox, but hey, this time I make an exception. It's worth the fun.

There's a campaign that wants the UN to start a military action to shoot down an Unidentified Flying Object to know if there are extraterrestrians:
http://www.ufocampaign.org/

Yeah, that's really something worth making a petition. Tell those politicians you want their military to shoot down aliens. I wonder if this is a well-made hoax or not.

Ich hab zwar keine Ahnung, was OKTE ist oder was die anbieten, aber die haben mir gerade Spam geschickt.

Sidenote:
okte.cn/user.asp?n="><script>alert(1)</script>

(Copy & Paste bitte, ich hoffe, dass das so deren Pagerank nicht positiv beeinflußt)

No responsible disclosure for spammers!

We got a huge trackback spam DDoS the last days that caused our servers to be unavailable for some hours. Most probably caused by some botnet. That's really a pain, you're so defenseless against that kind of threat. Filtering them is like trying to stop ants from entering your house by closing their entrance holes.
But anyway, I decided to write some abuse-mails to the contacts of some of the source IPs. I even got ONE reply (from Neighbourhood Cable, if you're looking for an ISP in australia, have a look at them, they must be good). I also got this:

<k55k559@bora.net|/webmail/mbox5/bora.net/961/k55k559|2|204800|209715200|99999999|99999999|>:
Recipient's maiilbox is full, message returned to sender, (#5.2.2) [7mallot:(209715200), usage:(209874944) [0m

<saehym@bora.net|/webmail/mbox0/bora.net/865/saehym|2|51200|58454016|99999999|99999999|>:
Recipient's maiilbox is full, message returned to sender, (#5.2.2) [7mallot:(52428800), usage:(58474496) [0m

Now, who in the world gives IPs out to people who aren't able to configure their mailboxes? Boranet, the source of that, seems to belong to the company LG, also producing Hardware. Maybe an interesting fact when you buy your next CD burner.

Nicht nur die elektronische Inbox ersäuft im Spam, auch »klassische« Methoden wie Cold Calls und die Schneckenpost werden zunehmend zur Verbreitung von Werbung genutzt.

Kürzlich nahm ich mir den Plan vor, der Herkunft meiner Werbeanschreiben nachzugehen. Da das Bundesdatenschutzgesetz entsprechende Anfragen vorsieht (§34, Auskunft an den Betroffenen), ist jedes Unternehmen verpflichtet, mir Auskunft über Art und Herkunft meiner Daten zu geben.

Mit einem Werbeanschreiben der Bank ING-DiBa fing ich an. Ich erhielt die freundliche Auskunft, dass es sich bei den Werbeanschreiben um einmalige Aktionen handle, dass die Adressen extern eingekauft werden und dass ING-DiBa selbst keine Daten von mir gespeichert hat. Desweiteren verwies man mich an die Global Direct GmbH / Global Group, von der meine Adresse stammt.

Ok, nächstes Anschreiben, an die Global Group. Hier erhielt ich die Information, dass man lediglich meine Adressdaten und keine weiteren Personendaten speichere. Meine Aufforderung zur Löschung der Daten beantwortete man wie folgt:
Daraufhin werden wir selbstverständlich Ihre Adressdaten vom Einsatz durch unser Haus ausnehmen und mit einem Sperrvermerk versehen. Bei jeder Werbeaktion, die wir für unsere Kunden durchführen, werden die Adresslisten, die zum Einsatz kommen, mit den gesperrten Daten verglichen. Nur so kann sichergestellt werden, dass Sie keine Werbung mehr durch uns erhalten. Die Löschung Ihrer Adresse würde verhindern, dass ein solcher Abgleich durchgeführt werden kann. Wir können dann nicht mehr garantieren, dass Sie aus unserem Haus keine Werbung mehr erhalten.

Das finde ich ja nun spannend. Das heißt ja ungefähr, wir könnten ihre Adresse zwar löschen, aber da vermutlich sowieso die Daten jedes Menschen in einem Industrieland überall verfügbar sind, nützt es mehr, die Daten beizubehalten und zu sperren. Denn, dass die Adresse wieder eingekauft wird, ist so gut wie sicher. Desweiteren gab's noch einen Hinweis auf die Robinson-Liste und die Information, dass meine Daten von der Firma Palette Adressen eingekauft wurde. (Wie groß ist die Branche eigentlich, die nur mit Datamining handelt, inzwischen?)

Also nächstes Anschreiben (übrigens alle per eMail). Von Palette Adressen erhielt ich die Auskunft, dass ebenso nur meine Adresse gespeichert sei, desweiteren ein dem oben zitierten ähnlicher Hinweis, dass meine Adresse gesperrt würde.

Gekauft wurde meine Adresse angeblich von einem Lotterie-Händler in Herford. Dieser sei jedoch inzwischen verstorben und meine Adresse sei dort auch nicht mehr gespeichert. Beruhigend, wenigstens bekomme ich keine Werbung aus dem Jenseits.

Damit endet diese Kurze Geschichte meiner Adressdaten. Wo sie ursprünglich herkamen, ließ sich nicht rekonstruieren und ein weiteres Nachforschen scheint sinnlos. Ich werd's nächstes Mal wieder versuchen. Und zu einem in jüngerer Zeit aufgeschlagenen Cold Call bin ich auch noch am Recherchieren, gibt's vielleicht bald weiteres.

Kürzlich bat ich ja alle Spammer um Mails. Um das Experiment auch meine Leser weiter verfolgen zu lassen, gestern, also am 1.2., traf die erste Mail ein. Die Ehre gebührt Anton le Roux, welcher mir anbietet, ein Konto bei einer afrikanischen Bank zu übernehmen, auf welchem 14 Millionen liegen. Selbstverständlich ist diese Information streng geheim.

Prinzipiell hat das eher länger als erwartet gedauert.

Zwecks einiger Experimente und Untersuchungen benötige ich einige intensiv mit Spam und Viren versorgte Mailadressen.

Da erfahrungsgemäß der meiste Spam über im Web veröffentlichte Adressen eintrudelt, mögen alle Spammer und deren Harvester bitte mal hier klicken. Allen anderen sei nicht empfohlen, an die angegebenen Mailadressen etwas zu senden.

Vor einigen Tagen erhielt ich einen »Pro-Simpsons Newsletter #3« an eine von mir schon längerer nicht mehr benutzte eMail-Adresse. Normalerweise ein Fall für den Mülleimer und den Spamfilter, aber da das ganze doch halbwegs ernsthaft aussah und es auch nicht den Eindruck einer böswillig unaufgeforderten Zusendung machte, schaute ich mir das genauer an.

Der Newsletter verwies auf eine Seite namens pro-simpsons [dot] de. Dort verbirgt sich eine Aktion, die sich angeblich gegen die Verkürzung der Simpsons-Sendezeit von zwei auf eine Folge pro Tag richtet. Seit einiger Zeit läuft um 18 Uhr auf Pro7 statt der Simpsons »Lotta in Love«.
Es gibt sicherlich wichtigeres auf der Welt, aber da die Simpsons vermutlich eine der weniger gehirnverringerungsfördernden Sendungen im TV sind, eine Aktion, der man durchaus gewisse Sympathie, wenn nicht gar Unterstützung entgegenbringen könnte.
»Könnte«, denn bedauerlicherweise wirkt die Seite vor allem wie ein Versuch, möglichst alle Methoden nerviger und unlauterer Werbung im Netz zu nutzen. PopUp-Windows, die keine echten sind (DHTML-Kram), auf jeder Seite, Werbebotschaften, die sich kaum vom Inhalt absetzen etc. Schon der Newsletter bestand zu ca. 1/3 aus einem großen Werbeblock.

Ich meldete mich im dortigen Forum, merkte selbiges sowie den mir unaufgefordert zugesandten Newsletter an. Kurze Zeit später meldete sich ein wohl für die Seite Verantwortlicher und klärte auf, dass wohl jemand drittes meine Mailadresse in die Unterstützerliste eingetragen hätte. Auf meine Frage, ob sie denn kein Opt-in verwenden, kam eine Antwort der Form »vielleicht machen wir das noch«. Auf die vielen Werbebanner angesprochen, reagierte er ausweichend, es sei für das teure Hosting. Meine Nachfrage, ob die Einnahmen irgendwo transparent gemacht würden, wurde verneint.

Anschließend fing ich an, ein bißchen zu recherchieren. Und da tat sich dann so einiges Interessante auf: Wie ich aus alten Forenbeiträgen rekonstruieren konnte, besaß die Seite wohl ursprünglich kein Impressum, auf Nachfrage einiger Nutzer wurde dann eines eingerichtet, welches auf einen Dr. Matthias Mönch in der Tschechei verwies (http://www.hackerboard.de/thread.php?threadid=23352). Dr. Matthias Mönch gab wohl zeitweise seine tschechische Adresse für diverse Seitenprojekte her, um diese vor Abmahnungen und juristischen Problemen im eigenen Land zu schützen.

Matthias Mönch ist auch als Verantwortlicher von Seiten aus dem Erotikbereich, etwa bildervote [dot] de, muschivote [dot] com. Für beide Services wurde wohl in der Vergangenheit massiv ICQ-Spam betrieben.

Aktuell konnte ich die Kontaktdaten von Herrn Mönch nicht mehr finden, stattdessen wird eine Firma namens Jokerempire Inc. mit Sitz in den USA genannt. Jokerempire nennt sich auch der im Forum verantwortliche, der mich, wie oben beschrieben, kontaktierte. Die Webseite der Firma Jokerempire, jokerempire [dot] biz verrät wenig über deren Tätigkeit, lediglich die Worte »Traffic - Consulting - Marketing - Service for Professionals«, sowie einige Kontaktdaten, sind dort zu finden. Jokerempire betreibt daneben die Webseite Jokermovies mit »HQ AdultMovies«.

jokermovies [dot] com ist allerdings wiederum auf eine deutsche Adresse angemeldet.

Ich dachte es interessiert vielleicht den ein- oder anderen, in welchen Gefilden sich die Macher der so harmlos anmutende Kampagne für die Familie aus Springfield bewegen.

P. S. für die Simpsons-Fans: Die Webseite Die Simpsons müssen bleiben setzt sich ebenso für die Belange der Fernsehserie auf Pro7 ein. Im Gegensatz zu oben Genannter wirkt diese nicht wie das Hobby eines unterbeschäftigten Spammers.