Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

Joe Job via Piwigo-Plugin?

14. Mai 2020 um 20:14 Uhr von Atari-Frosch

Es gibt Netzmißbrauch-Varianten, die muß man echt nicht verstehen. Seit etwa zwei Wochen beobachte ich mindestens 40 Einträge pro Tag auf meiner Piwigo-Instanz über das Plugin Subscribe-to-Comments. Das hat dieselbe Funktion wie das gleichnamige Plugin für WordPress/ClassicPress, mit dem Unterschied, daß es nicht konfigurierbar ist: Man kann sich damit von der Site Mails schicken lassen, wenn zu einem bestimmten Beitrag bzw. Foto ein neuer Kommentar eingegangen ist – auch wenn man selbst nicht kommentiert hat.

Das betreffende Foto – und ja, es war immer dasselbe – hat bisher keine Kommentare bekommen und zeigt auch generell nichts Besonderes. Die verwendeten Mailadressen stammen offensichtlich von amerikanischen Mailhostern. Eingeliefert werden die Subscriptions, soweit ich das gesehen habe, ausschließlich über Tor-Exit-Nodes. Die Mailadressen, die dabei angegeben werden, existieren teilweise nicht einmal; ich hatte deshalb pro Tag etliche Bounces. Heute wurde mir dann klar, daß auch die Inhaber der existierenden Adressen nichts davon wußten: Ich bekam nämlich eine Spam-Beschwerde.

Wenn da nämlich jemand eine Mailadresse einträgt, bekommt diese Mailadresse eine Bestätigung über diesen Eintrag. Durch diese Einträge von dritter Seite bekamen also nun dutzende von Mailadressen diese Bestätigung von meinem Piwigo. Und darüber hat sich dann wohl jemand bei Hetzner, dem Hoster meines Servers, beschwert:

This is a Comcast Abuse Report for an email message received from domain atari-frosch.de, IP 176.9.63.237, on Thu, 14 May 2020 16:02:30 +0000.

Da stellt sich mir jetzt die Frage, was das soll. Denn der Auslöser der Bestätigungsmails an unbeteiligte Dritte kann damit keinerlei Botschaften übermitteln. Klassischer Spam ist das also nicht.

Wenn Spam zusätzlich zur verteilten „Botschaft“ dafür mißbraucht wird, den Betreiber eines Dienstes in ein schlechtes Licht zu rücken oder gar selbst als Spammer darzustellen, obwohl das gar nicht seine Intention ist, dann nennt man das im Netz einen Joe-Job. Die ursprüngliche, im Wikipedia-Eintrag genannte Vorgehensweise besteht darin, daß man für seinen Spam eine Mailadresse eines Gegners wählt, der dann – teils massenweise – die Bounces bekommt für die angeschriebenen Mailadressen, die nicht (mehr) existieren. Und die Beschwerden derer, die den Mailheader nicht lesen (können) und daher nicht erkennen, daß der vorgegebene Absender nicht der echte ist, noch obendrauf.

Ich hatte über die Jahre auch immer mal wieder gesehen, daß Spammer die Absende-Mailadressen quasi rotieren: Jede Adresse, die angespammt wird, wird auch bei Spam-Mails an andere Empfänger als Absender eingesetzt. So nach dem Motto: Wir spammen Euch zu, jetzt verkloppt Euch gegenseitig. Popcorn anyone?

In meinem konkreten Fall ist das ein wenig anders: Mein Mailserver ist ja tatsächlich Absender der Bestätigungs-Mails, die Absende-Adresse ist ebenso echt. Der Auslöser der Mails mißbraucht hier die Tatsache, daß das Plugin Subscribe-to-Comments nicht prüft und auch gar nicht prüfen kann, ob ein Eintrag legitim ist, also von der Person stammt, der die angegebene Mailadresse tatsächlich gehört. Das gilt übrigens auch für das gleichnamige Plugin für WordPress/ClassicPress, obwohl man da im Gegensatz zur Piwigo-Version einiges konfigurieren kann. Um die Versuche abzustellen, müßte ich zumindest bestimmte IP-Ranges, in denen Tor-Exit-Nodes betrieben werden, für Kommentare bzw. Kommentar-Abos sperren. Das werde ich wiederum nicht tun.

Stattdessen habe ich das Plugin in Piwigo erst einmal deaktiviert. Das ist jetzt in meinem Fall nicht so schlimm; legitim genutzt wurde es bislang nicht, und es kommen generell praktisch keine Kommentare auf der Site rein.

Wie gesagt, der Sinn der Aktion bleibt für mich im Dunkeln. Wer mich gegenüber Dritten als Spammer diskreditieren will, würde dann wohl eher keine Mailadressen von Menschen in den USA beschicken, die mich garantiert nicht kennen. Eine Intention könnte noch sein, Site-Betreiber dazu zu animieren, generell Tor-Exits auszusperren. Eine Spam-Botschaft kann auf diesem Wege jedenfalls nicht verbreitet werden.

Sorge macht mir die Tatsache, daß auch das Plugin Subscribe to Comments bzw. Subscribe to Comments Reloaded für WordPress/ClassicPress gegen diese Art von Attacken keine Abwehrmechanismen kennt. Das heißt, die Methode könnte in Zukunft auch gegen Blogbetreiber eingesetzt werden. Daß das zuerst bei Piwigo auftaucht (zumindest bei mir), ist ein wenig seltsam, da Piwigo längst nicht so weit verbreitet sein dürfte wie WordPress. Das heißt, WordPress-Installationen mit diesem Plugin oder gleichartigen Plugins wären wesentlich „ergiebiger“.

Warten wir's ab …


History

Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>