Tweakers gespammed met request door thunderbird.. - Linux en overige clients

maandag 15 december 2014 10:50

Acties:

0 Henk 'm!

Prutser 1e klasse

Topicstarter

Misschien ik met jullie hulp wat verder kom, maar sinds een afgelopen vrijdag blijk ik soms veel verkeer te genereren naar Tweakers.net via Thunderbird? (90.000 requests op 1 dag) en ik heb geen idee hoe dat kan.
Hoe dat ik weet dat het met thunderbird is, simpel:

Useragent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0 Lightning/2.6.6

Logischer wijs gooit een scriptje op Tweakers me in de firewall blokkade. Er lastig als je wil modereren. Maar gelukkig is Kees zo aardig om me te deblokkeren

Met Thunderbird doe ik helemaal niets qua tweakers. Ik gebruik het voor de mail voor werk en dat is alles. Geen gekke plugins of add-ons. Geen RSS feeds, etc.

Als ik (nu) in netstat kijk zie ik niets vreemds qua tweakers.net.

Wel een paar vreemde IP adressen, maar ik denk niet dat het er wat mee te maken heeft:

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 dev-leon.local:51686 93.187.10.106.triple-it.nl:http TIME_WAIT -
tcp 302 0 dev-leon.local:35157 202.108.33.51:http CLOSE_WAIT 2750/.netio

1 verwijzing naar triple-it.nl, geen idee waarom. En het 202.* adres is ergens van een bedrijf in China? Geen flauw idee waar die vandaan komen.

Operating system is trouwen Mint 14 Nadia.

The ships hung in the sky in much the same way that bricks don’t.

maandag 15 december 2014 12:49

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Heb je niet toevallig een agenda item met een link oid naar Tweakers staan? Gelukkig is alles van Thunderbird zo goed als plain text, dus door je $HOME/.mozilla/thunderbird greppen met Tweakers.net of de bewuste pagina kan een resultaat opleveren voor je.

Commandline FTW | Tweakt met mate

maandag 15 december 2014 13:54

Acties:

0 Henk 'm!

Standeman

Prutser 1e klasse

Topicstarter

Tot nu toe nog niets gevonden..

The ships hung in the sky in much the same way that bricks don’t.

maandag 15 december 2014 13:57

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Heeft Kees je ook verteld wat voor requests je stuurde? Dat lijkt me nogal nuttige info om het verder uit te zoeken?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

maandag 15 december 2014 14:02

Acties:

0 Henk 'm!

Standeman

Prutser 1e klasse

Topicstarter

Yup.. Get requests naar een topic in GCC. Op dat moment was ik er wel mee bezig, maar aan de useragent te zien was het thunderbird ipv firefox..

The ships hung in the sky in much the same way that bricks don’t.

maandag 15 december 2014 17:29

Acties:

0 Henk 'm!

DJMaze

Wat zegt nethogs?

code:

1 2	sudo apt-get install nethogs sudo nethogs

Maak je niet druk, dat doet de compressor maar

dinsdag 16 december 2014 01:55

Acties:

0 Henk 'm!

Rainmaker

RHCDS

Gewoon met een packetsniffer eerst maar eens kijken wat voor verkeer het is?

code:

1	tcpdump -i any -vvvvv host tweakers.net or host gathering.tweakers.net

ook; met netstat -p kun je zien welke binary de socket heeft opengezet.

offtopic:
En; ik wil het toch even zeggen. Een topic met een dergelijke openingspost zit meestal op het randje van gesloten te worden wegens onvoldoende inzet

[ Voor 44% gewijzigd door Rainmaker op 16-12-2014 01:59 ]

We are pentium of borg. Division is futile. You will be approximated.

dinsdag 16 december 2014 08:23

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Rainmaker schreef op dinsdag 16 december 2014 @ 01:55:

offtopic:
En; ik wil het toch even zeggen. Een topic met een dergelijke openingspost zit meestal op het randje van gesloten te worden wegens onvoldoende inzet

En ik wil toch even zeggen dat een gewone gebruiker daar niets over te vertellen heeft. Daar gaan wij over en je weet niet wat er achter de schermen heeft plaatsgevonden voordat Stan dit topic heeft geopend. Als een topic niet deugt, ongeacht wie 'm heeft geopend, wordt deze bijgestuurd of gesloten (als het echt hopeloos is).

Commandline FTW | Tweakt met mate

dinsdag 16 december 2014 11:26

Acties:

0 Henk 'm!

Freee!!

Trotse papa van Toon en Len!

Vreemd probleem, ik dacht dat ik de meeste van Thunderbird wel kende. Al gekeken op MozillaZine

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

zondag 21 december 2014 15:26

Acties:

0 Henk 'm!

FreshMaker

Freee!! schreef op dinsdag 16 december 2014 @ 11:26:
Vreemd probleem, ik dacht dat ik de meeste van Thunderbird wel kende. Al gekeken op MozillaZine

Ik heb hiermee te maken gehad nadat ik ballloon ( een chrome extensie ) ingeschakeld had.
ineens kwamen er vanaf ons bedrijfsip 1000'en requests.
Deze plugin verwijderd, en de boel was klaar

maandag 22 december 2014 09:11

Acties:

0 Henk 'm!

Freee!!

Trotse papa van Toon en Len!

FreshMaker schreef op zondag 21 december 2014 @ 15:26:
[...]
Ik heb hiermee te maken gehad nadat ik ballloon ( een chrome extensie ) ingeschakeld had.
ineens kwamen er vanaf ons bedrijfsip 1000'en requests.
Deze plugin verwijderd, en de boel was klaar

Dat lijkt vrij duidelijk.

The problem with common sense is that sense never ain't common - From the notebooks of Lazarus Long

GoT voor Behoud der Nederlandschen Taal [GvBdNT

maandag 22 december 2014 09:16

Acties:

0 Henk 'm!

johnkeates

Lightning is geen standaard onderdeel van Thunderbird, als dat in je UA staat, heb je dan niet een plugin met die naam binnen gehaald o.i.d. ?

Kan trouwens de moeite waard zijn om voor nu even een uitgaande firewall blokkade te maken die lekker wat logt zodat je ook weet wat er precies gebeurt vanaf je eigen machine gezien. Gezien thunderbird vast niet op poort 80 hoeft te babbelen kan je die bijvoorbeeld voor dat proces alvast dicht doen.

maandag 22 december 2014 09:24

Acties:

0 Henk 'm!

Dysmael

Met een beetje mazzel kan je met Process Monitor of Microsoft Network Monitor de thread achterhalen die hiervoor verantwoordelijk is.

maandag 22 december 2014 10:42

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

RolfLobker schreef op maandag 22 december 2014 @ 09:24:
Met een beetje mazzel kan je met Process Monitor of Microsoft Network Monitor de thread achterhalen die hiervoor verantwoordelijk is.

En hoe wil je dat laten werken dan? We hebben het hier over Linux, niet een of ander MS systeem.

Commandline FTW | Tweakt met mate

maandag 22 december 2014 10:44

Acties:

0 Henk 'm!

Dysmael

Overheen gelezen

maandag 22 december 2014 13:43

Acties:

0 Henk 'm!

Standeman

Prutser 1e klasse

Topicstarter

johnkeates schreef op maandag 22 december 2014 @ 09:16:
Lightning is geen standaard onderdeel van Thunderbird, als dat in je UA staat, heb je dan niet een plugin met die naam binnen gehaald o.i.d. ?

Kan trouwens de moeite waard zijn om voor nu even een uitgaande firewall blokkade te maken die lekker wat logt zodat je ook weet wat er precies gebeurt vanaf je eigen machine gezien. Gezien thunderbird vast niet op poort 80 hoeft te babbelen kan je die bijvoorbeeld voor dat proces alvast dicht doen.

Ik heb inderdaad de lightning plugin geïnstalleerd voor mijn kalender. Ik heb inmiddels wel een firewall rule aangemaakt. Overigens babbelt thunderbird wel op port 80 om bijv. plaatjes en andere externe content binnen te halen, maar zonder dat kan ik wel leven.

The ships hung in the sky in much the same way that bricks don’t.

dinsdag 23 december 2014 23:25

Acties:

0 Henk 'm!

ppl

Hero of Time schreef op dinsdag 16 december 2014 @ 08:23:
[...]

En ik wil toch even zeggen dat een gewone gebruiker daar niets over te vertellen heeft. Daar gaan wij over en je weet niet wat er achter de schermen heeft plaatsgevonden voordat Stan dit topic heeft geopend.

Zeer onhandige verwoording waarbij men heel goed heeft gekeken naar de gebruikers hier want ik zie dat men exact hetzelfde excuus gebruikt. En wat wordt er dan gezegd? Jawel, de discussie had volledig voorkomen kunnen worden wanneer dit soort informatie gewoon in de TS had gestaan. Je reactie kan trouwens ook erg overkomen als "jij hebt maar te doen wat wij je opdragen" en laat dat nou iets zijn waarvan de FAQ hier zegt dat die houding niet gewenst is. Is trouwens ook niet bepaald uitnodigend om hier dan maar te helpen.

Een wat vriendelijkere versie van bovenstaande: zou men dan ook hetgeen wat er achter de schermen is besproken hier in het topic kunnen zetten? Wellicht dat dit anderen ook helpt, dan weten we in ieder geval wat er zoal is gedaan.

@Standeman: had je ook al eens gekeken naar het verkeer wanneer je de tcpdump start en dan Thunderbird? En daarna nog eens maar dan zonder de Lightning extension? Welke overige extensions heb je (er is nogal een verschil tussen "geen plugins" en "geen gekke plugins")? Zou je het ook eens met een nieuw profiel van Thunderbird kunnen proberen?

dinsdag 23 december 2014 23:39

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

ppl schreef op dinsdag 23 december 2014 @ 23:25:
Een wat vriendelijkere versie van bovenstaande: zou men dan ook hetgeen wat er achter de schermen is besproken hier in het topic kunnen zetten? Wellicht dat dit anderen ook helpt, dan weten we in ieder geval wat er zoal is gedaan.

Hier op voortbordurend: ook worden er dan geen dubbele tips gegeven, scheelt ook weer in frustraties.
Ik weet overigens niet of Mint 14 een LTS-versie is, maar ook die is wel flink verouderd, aangezien Mint 17 al uit is...

[ Voor 11% gewijzigd door CH4OS op 23-12-2014 23:44 ]

woensdag 21 januari 2015 15:36

Acties:

0 Henk 'm!

Meulugar

Vanuit het zonnige zuiden![PT]

i know, beetje dood topic schoppen, Geen idee of het al opgelost is, maar had het wellicht hier mee te maken?

https://www.security.nl/p...wegens+Thunderbird-lekken

De populaire Linuxdistributie Ubuntu heeft een beveiligingsupdate uitgebracht wegens verschillende lekken in de e-mailclient Thunderbird. Via de kwetsbaarheden kon een aanvaller willekeurige code met de rechten van de ingelogde gebruiker uitvoeren of een Denial of Service veroorzaken als de gebruiker een speciaal geprepareerd bericht opende.
Verder was het via een kwaadaardige e-mail mogelijk om een cross-site request forgery (XSRF)-aanval uit te voeren en kon er een "session-fixation-aanval" plaatsvinden als de gebruiker verbinding met een kwaadaardige webproxy maakte. Thunderbird is de door Mozilla ontwikkelde opensource e-mailclient en is standaard onderdeel van Ubuntu. Gebruikers krijgen het advies om de updates voor Ubuntu 14.10, Ubuntu 14.04 LTS of Ubuntu 12.04 LTS te installeren.

los van het feit dat TS op mint draait (wat volgens mij wel een aftreksel is van Ubutu) Lijkt het mij dat deze bugs in alle varianten van Thunderbird te vinden zijn

woensdag 21 januari 2015 15:44

Acties:

0 Henk 'm!

Standeman

Prutser 1e klasse

Topicstarter

Dat is wel een ernsitge zeg

Maar inmiddels ben ik al op mint 17 overgestapt en heb ik tot nu toe nergens meer last van gehad.

The ships hung in the sky in much the same way that bricks don’t.