Afsender spam fra hackede servere

Artiklen blev oprindeligt publiceret den 25/4/2002

DK-CERT har det sidste par dage hørt om to tilfælde af angreb, hvor hackere masseudsender e-mails. Det gør de fra maskiner, som de har hacket sig ind på.

I det ene tilfælde har en hacker tiltvunget sig adgang til en server og installeret et såkaldt "rootkit" på den. Det er en samling værktøjer, som tillader hackeren at vende tilbage til maskinen og udnytte den. Derefter udsendte hackeren en stor mængde spam (uønskede e-mails).

Den angrebne organisation opdagede det først, da den blev oversvømmet med protester fra vrede modtagere af beskederne. Oven i dem kom en stribe beskeder fra postservere, der ikke kunne finde de adresser, brevene var sendt til. Organisationen var nødt til at øge serverkapaciteten for at klare presset fra de mange reaktioner.

I det andet tilfælde har hackeren udnyttet en velkendt sårbarhed i programmet FormMail, der giver mulighed for at sende mails fra en web-server. Her har han ikke haft mulighed for at komme ind og installere et rootkit, men han kunne alligevel udsende spam. Brevene angav at komme fra modtagerens internetudbyder, der bad dem om at indtaste deres kreditkortoplysninger igen på en webside, som der var link til. På samme side kunne man også downloade et program, som DK-CERT formoder indeholder en trojansk hest.

DK-CERT ser sjældent spam og hacking kombineret. Normalt kan afsendere af spam let finde en postserver, der tillader videresendelse af e-post (et såkaldt åbent mail relay). Derfor har de ikke brug for at ty til hacking.

Links