一个好牛的垃圾邮件服务提供商

漏洞概要

缺陷编号:WooYun-2012-05795

漏洞标题:一个好牛的垃圾邮件服务提供商

相关厂商:垃圾邮件服务提供商

漏洞作者:路人甲

提交时间:2012-04-05 16:00

公开时间:2012-04-05 16:00

漏洞类型:钓鱼欺诈信息

危害等级:低

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2012-04-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

你愿意每天在邮箱中都收到各种不请自来,甚至少儿不宜的垃圾邮件么?
网民们,忍够了!
因为平均每周要用10多分钟处理垃圾邮件,我们失去了宝贵的生命时间;
因为平均每周要看10多封垃圾邮件,我们的视力要加深0.01度;
因为我们泄露的信息成为了垃圾邮件的源头,垃圾邮件的源头又一不小心变成了APT源头,因此我们每天都要在惶恐中度过......
强烈建议CNCERT/CC以及各大邮件服务商封杀以下这个好牛的垃圾邮件服务提供商,还邮件一片清净!!(此问题建议转交CNCERT/CC进行处理;同时也顺带曝光垃圾邮件服务提供商的一些不光彩手段)

详细说明:

事情起因是工作邮箱在近一个月来不停收到垃圾邮件,而且退订的地址均很有规律,这种不胜其扰终于把我给惹怒了——你们要靠此养活家人,难道我就不用工作啊!于是乎进行了一轮简单的追踪,并且在今天有了突破。

首先直接讲结论:1、该垃圾邮件服务提供商牛就牛在其持有IP众多,分布在国外的VPS中,并且适时地利用了各种泄露数据库的EMAIL进行垃圾邮件发送。但IP段比较集中,约在216.6.238.*,173.234.170.*,173.208.221.*,173.234.140.*2、该垃圾邮件服务提供商的系统中存在SQL注入漏洞,可导致众多有效邮件地址泄露,引发更广泛的垃圾病毒邮件传播问题。下面分析:1、邮件头邮件头出现了不少由国外VPS代发的身影:

目前收到的邮件发送源IP:

2、邮件URL邮件中出现了几个较为集中的域名。从这些域名反推到IP,也可和邮件头部分对应。

其中,将http://173.234.170.100 改为http://173.234.170.101 、http://173.234.170.102 可见到相同的nginx/1.1.4,可见其持有IP之多。3、邮件中的跳转URL存在SQL注入漏洞从该垃圾邮件服务提供商发送的垃圾邮件,其内含的链接均为跳转url。而这个url存在注入漏洞:

经渗透测试,里面含有:(1)所有的推广信息;(2)目前正在发送垃圾邮件的服务器监控(貌似不完整);(3)所有深受垃圾邮件困扰的受害者email(还分库分表);(4)竟然还有一个名为csdn的数据库,来源和用途各位你懂的;而且还清洗出一个qqtest数据库而更让人担心的是,这个数据库是root权限的。可以想象如果有黑客盯上这个数据库,里面的有效email又再遭泄露,引发垃圾、违法甚至是APT EMAIL的发送循环,所有受害者掉到无底洞中无法停止......

漏洞证明:

不得不说,sqlmap是个好东西......1、该垃圾邮件服务商的数据库里面,CSDN里面有啥东西?

2、某个分表拥有的email数目,触目惊心啊!

修复方案:

1、CNCERT/CC根据上述信息继续追查下去吧,说不定又能打掉一个特大垃圾邮件发送团伙了!2、这些垃圾邮件竟然有知名品牌网店的参与,我想问问,有良心么?有良心么?有良心么?

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价

  1. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    咦,怎么公开了?

  2. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @horseluke 不公开那找哪个运营商?再说,哪个厂商敢确认?

  3. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @horseluke 像一篇优秀的文档,作者没署名啊

  4. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @zeracker 问题是,有SQL漏洞呐...[email protected] 打掉后再公开的吧?现在一来一堆受害者的email又会黑市转手给他人发垃圾邮件了,555...

  5. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @xsser 我写的,怕报复,你懂的。

  6. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @horseluke 这个舆论监督吧......

  7. 2010-01-01 00:00 Xunix 白帽子 | Rank:25 漏洞数:5)

    一切,一气呵成,利索,赞一个。

  8. 2010-01-01 00:00 X-Secure 白帽子 | Rank:6 漏洞数:2)

    @horseluke 最后那连着的三个“有良心么”,我喜欢!

  9. 2010-01-01 00:00 kookxiang 白帽子 | Rank:28 漏洞数:6)

    @X-Secure +1,竟然公开了,有良心么…

  10. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @horseluke 路人甲了,没想到还在留言里面暴露了

  11. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @zeracker 原因是发生“非预期提前公开”异常,本人因为心急没有处理好这个异常导致......我要索取精神损失费......

  12. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    @horseluke 向CNCNERT申请补偿吧。

  13. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @zeracker 又不是CNCERT公开的......算了......

  14. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    公开了,会有人去打野鸡的吧@@

  15. 2010-01-01 00:00 goderci 白帽子 | Rank:522 漏洞数:47)

    这个必须顶啊....

  16. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @一刀终情 啥叫野鸡?是控制这么多IP做肉鸡么?貌似是有这种可能的...

  17. 2010-01-01 00:00 Enjoy_Hacking 白帽子 | Rank:68 漏洞数:8)

    注册账号都是用小号email的表示毫无压力

  18. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @Enjoy_Hacking 把小号也用大了的人,表示略有压力~~!

  19. 2010-01-01 00:00 http://www.wooyun.org/corps/cncert国家互联网应急中心 白帽子 | Rank:0 漏洞数:0)

    @horseluke @zeracker 已经收到信息,里面所提及的垃圾邮件样本是否可以提供一个参考?

  20. 2010-01-01 00:00 horseluke 白帽子 | Rank:108 漏洞数:18)

    @cncert国家互联网应急中心 [email protected] ?我打包给你都成