Spam gehört ja auch leider schon zum Alltag. Hier mal wieder etwas “Neues”: eine noch dreistere Methode, seine Malware unters Volk zu bringen. Mich hat es schon mit drei meiner Mailadressen erwischt – drei der weniger gegen Spam gesicherten. Hier werkelt nur ein Spamassassin (2,5 Punkte für die Mail).

Zum Inhalt gibt es nicht viel zu sagen:

Sehr geehrte Damen und Herren,
Ihre Email “mail@domain.tld” wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 94 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Der Anhang dann wie zu erwarten ein hinweis.zip oder ähnlich. Darin eine .exe-Datei. Mir ziemlich schnuppe, Linux sagt mir: Damit fange ich nichts an. Da wir an unsere Firmenadresse noch nichts bekommen haben, bestätigt sich mal wieder die gute Funktionsweise und schnelle Reaktionszeit von Spamproof-MX, dass mit seinem weltweiten Anti-Spam Netzwerk einfach schneller auf solche Wellen reagieren kann.
Gerne an dieser Stelle empfehle ich allen, die sich bei solchen Mails vielleicht doch unsicher sind die Seite www.hoax-info.de – hier steht alles über AIDS-Nadeln in Kinositzen, die Suche nach Knochenmarkspendern oder das Verschenken von Handys. die ganze Liste – und auch die wenigen tatsächlich echten Hilferufe – gibt es hier.

Weil es gerade so aktuell ist: mod_security2 in der neueren Version lässt sich nicht mehr über .htaccess abschalten. Um es dennoch per VHost kontrollieren zu können reicht ein Eintrag in der entsprechenden vhost.conf:

SecRuleEngine Off

Diese Anweisung kommt in die <VirtualHost…>…</Virtualhost> Umgebung, nicht in die <Direcorty>…</Directory>. Damit ist es auch unter Confixx über die httpd-specials möglich, mod_security per User auszuschalten.

Immer wieder werden Server von Skript-Kiddies oder echten Angreifern heimgesucht – das können SSH Attacken sein oder Spammer, die versuchen, Ihre Mails loszuwerden. Ein einfaches wie effektives Tool gegen solche Machenschaften ist fail2ban. Ein kleines Perl Skript scannt die Logfiles nach bestimmten Pattern und schließt nach einer gewissen Anzahl Fehlversuche die angreifende IP per iptables aus. Die Pattern, die maximale Anzahl der Versuche sowie die Bantime sind frei konfigurierbar. Unter Debian 4 ist das Tool über apt zu installieren, in der Gundkonfiguration sind schon sehr gute Einstellungen vorhanden.

Weitere Informationen und Installationshinweise gibt es unter http://fail2ban.org/