12 April 2005

Lagi-lagi Spamming Melalui Zombie

Posted under: at 01:01

Senin ini saya ke Bandung untuk menyelesaikan beberapa urusan. Berangkat dari Depok kurang lebih pukul 11.00 dan menggunakan mobil sendiri melalui jalur Puncak. Tapi seperti biasa, masalah kantor selalu timbul pada saat yang paling tidak diinginkan. Hasilnya, di tengah-tengah perjalanan, saya harus minggir sebentar (kurang lebih 1 jam) untuk bergabung dengan rekan-rekan di kantor dengan menggunakan koneksi GPRS dengan kekuatan sinyal satu bar saja :(.

Ternyata masalahnya adalah spam melalui zombie. Zombie adalah sebutan untuk komputer-komputer di Internet yang terkena virus atau worm, sehingga komputer-komputer tersebut dapat dikontrol oleh sang pembuat virus atau worm untuk melakukan apapun yang dikehendakinya. Pada kasus ini, si pembuat virus menginstruksikan para zombie untuk mengirim spam dengan cara dictionary attack.

Dictionary attack bekerja dengan cara mengirim ke alamat email dengan bagian username yang random, misalnya: feiljfaiejf@example.com, wqiruiwor@example.com, lseijr@example.com dan seterusnya.

Kerugian yang diakibatkan oleh dictionary attack adalah:

  1. Menumpuknya antrian email, terutama bagi mail server yang menggunakan sistem delayed bounce seperti Qmail. Mail server dengan sistem ini akan menerima semua email walaupun alamat email tidak valid, termasuk seluruh email hasil dictionary attack. Solusi untuk mengatasi hal ini adalah dengan mengganti mail server dengan yang tidak menggunakan sistem delayed bounce. Untuk pengguna Qmail dapat mengganti fungsi qmail-smtpd dengan qpsmtpd yang dilengkapi dengan plugin check_delivery

  2. Habisnya slot koneksi SMTP. Biasanya server SMTP akan membatasi jumlah koneksi maksimum yang akan diterima untuk menghindari pemakaian sumber daya yang berlebihan. Tetapi jika yang mengirim email berjumlah ribuan, maka slot koneksi ini bisa dipastikan akan habis. Pengirim email yang tidak bersalah harus berebut untuk mendapatkan slot koneksi SMTP sebelum bisa mengirim email. Solusi untuk mengatasi hal ini adalah dengan melakukan pemblokiran di tingkat TCP/IP, misalnya dengan menggunakan iptables di Linux.

Pada umumnya dictionary attack mengincar satu domain saja. Jika hal ini yang terjadi pada satu klien saya, maka saya akan ubah MX record domain yang bersangkutan ke 127.0.0.1. Cara ini jauh lebih efisien ketimbang melakukan pemblokiran terhadap puluhan ribu IP yang bisa memakan waktu lebih dari satu hari. Rekor pemblokiran saya adalah lebih dari 17000 host!

Namun, pada kasus saat ini pengiriman spam dilakukan terhadap beberapa domain sekaligus, sehingga saya tidak bisa menerapkan metoda ini :(. Satu-satunya solusi adalah dengan melakukan pemblokiran di tingkat IP dengan iptables. Saat ini saya sudah mendapatkan sekitar 4000 IP. Selain itu saya juga menaikkan jumlah slot koneksi SMTP sebanyak lima kali lipat.

Pengiriman spam memang masih berlangsung, tapi paling tidak saat ini slot koneksi SMTP tidak terpakai seluruhnya sehingga email dengan itikad baik masih dapat masuk. Mungkin karena pelaku spam menargetkan banyak domain, sehingga jumlah koneksi SMTP yang dilakukan ke satu server jauh lebih sedikit dibandingkan jika pelaku spam menargetkan satu domain saja.

15 Responses

Trackback: Use this URI to trackback this entry. Use your web browser's function to copy it to your blog posting.

Comment RSS: You can track conversation in this page by using this page's Comments RSS (XML)

Gravatar: You can have a picture next to each of your comments by getting a Gravatar.

Leave a Comment

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Warning: Comments carrying links to questionable sites will be removed!