比尔盖子 博客

利用公共邮件列表进行邮件洪水攻击

A Flooded Mailbox

近日起,比尔盖子在 24 小时内收到了 20000 封来自公共邮件列表的订阅确认邮件,八成都来自自由和开源软件(FOSS)项目的邮件列表。而涵盖的项目也至少多达 20 个,不限于 OpenBSD、FreeBSD、GNU 计划、Ubuntu、CentOS、Qt、HostAp,甚至是以邮件著称的 Postfix。“订阅者”来自多个 IP。

在社交网络上分享经历后,不到 5 个小时,截至第一次发稿,就确认了受害者 @LI欣欣zn, @黑椒饼干, @路过的小新, @玩脱了的奶鱼, @機智的阿卡林chan, @06peng, @被窝型笨笨鱼, @和樹白翼, @无名小卒_路人A,似乎以技术圈为主。紧接下来的几天内,更是确认了萌娘百科官方邮箱,月光博客的作者 William Long,上海 Linux 用户组的 Thomas 等显著案例。部分受害者的邮箱因来信太多已经停止工作。个人用户只能暂时利用关键词过滤器规避攻击。更有甚者,@和樹白翼 紧急更换的新邮箱居然在新的一波攻击中遭殃。

邮件列表是 FOSS 项目的重要交流工具,日常开发几乎完全倚仗邮件列表。订阅邮件列表时,常见的程序均会给用户发送确认邮件,避免用户受到骚扰。然而,由于 FOSS 项目邮件列表大量存在,这就使得利用确认邮件本身加以骚扰他人成为可能。邮件列表通常均使用 GNU Mailman,而且通常不设有验证,更是为批量自动化操作提供了捷径。一个数字节的 POST 请求即可放大为内容更长的电子邮件。

这已经不是第一次发生类此状况,去年,GNOME 基金会管理的 FreeDesktop.org 列表就被利用进行攻击,管理者通过自行给 GNU Mailman 订阅增加了 reCAPTCHA 验证解决了问题。然而,还有大量的社区邮件列表处于没有保护的境地下(如 Fedora Project)。如果公共邮件列表一旦被广泛利用,这类低成本的攻击将会严重耗费 FOSS 项目系统资源,影响大量潜在的个人或机构正常使用电邮,如果这类邮件被归类为垃圾邮件,更会影响用户和开发者的正常工作。

Categories: IT生活, Linux, 动态点评

服务器 SSH 新增备用端口 » « 布局与输入法独立的可能性 a.k.a 我为什么在勉强使用 Fcitx

6 Comments

  1. 我的邮箱也被攻击了。

    • 居然是月光博客的作者 William Long,实在很荣幸能见到你,各位访客也快来认识一下 🙂 ;不过一想到是以这种原因见面,是在……

      最近,我正在给一些技术网站投稿,希望能通过新闻报道使 FOSS 社区注意到这个问题。我发现你的博客对此已经有所报道,在此表示感谢。

  2. 最近似乎有什么人盯上了FOSS的maillist了,好多列表都是这样,唉。呪做这些事儿的人下辈子不举。

  3. 原来此新闻是你投递的。

  4. 并不明白为什么要这么做。有什么经济利益?还是仅仅为了测试一种方法?或者是为了恶心人?奇怪啊奇怪。

发表评论

Your email address will not be published.

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax

Copyright © 2023 比尔盖子 博客

Theme by Anders NorenUp ↑