최근 /mailman//subscribe/example-info_example.co.uk의 mailman 구독 페이지에 대한 많은 POST 요청을 받기 시작했으며 서버 HTTP 로그에 다음이 표시됩니다.
204.52.107.22 - - [06/Jan/2021:04:07:39 +0000] "POST /mailman//subscribe/example-info_example.co.uk HTTP/1.1" 200 1334 "-" "axios/0.19.2 "
그런 다음 메일맨 메일링 목록 구독자 목록에 없는 이메일 주소로 이메일이 전송됩니다.
메일링 리스트는 목록 관리자가 아닌 이메일 주소에서 오는 이메일을 거부하도록 구성되어 있습니다.
따라서 이러한 요청에 어떤 내용이 전송되는지 알고 싶습니다. 이러한 POST 요청의 내용을 가져오기 위해 실행할 수 있는 명령이나 스크립트가 있습니까?
답변1
이들은 구독 봇으로 알려져 있으며 수많은 무고한 사용자를 수백 개의 목록에 구독합니다. 저는 말 그대로 지난 1년 동안 수집하고 차단한 IP가 10,000개가 넘습니다. 당신이 할 수 있는 몇 가지 일은 클라이언트 문자열을 기반으로 차단하거나 양식 데이터가 구독 페이지에서 발생하고 양식에 직접 액세스하지 않도록 강제하는 최신 버전으로 mailman 설치를 업그레이드하는 것입니다. 또한 나는 그들이 오는 네트워크에서 남용 이메일을 찾아 일부 로그 발췌문과 함께 불만 사항을 이메일로 보내는 것을 옹호합니다. 지금까지는 아무 소용이 없었지만 이러한 공격의 대부분은 호스팅 시설에서 발생했으며 심지어 Amazon에서도 몇 차례 공격을 받았습니다. 충분한 사람들이 불만을 토로한다면 이러한 호스팅 제공업체는 이 활동을 중단할 수도 있습니다.