DDoS via Postfix
Jan Marek
jmarek na jcu.cz
Pátek Srpen 4 13:56:57 CEST 2017
Dd,
On Fri, Aug 04, 2017 at 10:54:33AM +0200, Tomas Macek wrote:
>
>
> On Mon, 31 Jul 2017, Vitezslav Samel wrote:
>
> > On Mon, Jul 31, 2017 at 07:19:13AM +0200, Jan Marek wrote:
> > > Dobrý den,
> > >
> > > na několika mnou spravovaných serverech jsem zaznamenal DDoS vůči
> > > adrese 185.140.110.3. Zřejmě na ní někdo udělal spoustu A záznamů
> > > s různými doménami, viz část fronty mého postfixu:
> > >
> > > E836740067 2564 Fri Jul 28 02:24:32 MAILER-DAEMON
> > > (connect to dcmclaims.com[185.140.110.3]:25: Connection refused)
> > > natalie25r0wec na dcmclaims.com
> >
> > [...]
> >
> > > Mechanismus byl takový, že přišel mail na neexistujícího
> > > uživatele a toto všechno byla oznámení o tom, že uživatel
> > > neexistuje. Maily ale přicházely z jiných adres, než
> > > z 185.140.110.3.
> > >
> > > Měl by někdo nápad, jak se proti tomu bránit?
> >
> > postfix 3.0+
> >
> > v main.cf:
> > smtpd_sender_restrictions =
> > ...
> > check_sender_a_access cidr:$config_directory/blacklist_sender_cidr,
> > ...
> >
> > v blacklist_sender_cidr:
> > 185.140.110.3 REJECT Known spammy sender
> >
> >
>
> Já mám takový dojem, že 185.140.110.3 za to nemůže, že ty maily chodí z
> jiných IP a obsahujou návratovou mailovou adresu s doménou těch uměle
> zřízených A záznamů. Na tom stroji pak nic neběží, takže to odmítá spojení.
přesně tak.
Napadlo mě, že by bylo šikovný tyhle maily poslat do /dev/null,
zatím ale nevím, jak by se to dalo zařídit...
>
> Takových mailů jsem tu měl tuny taky.
ano, tu a tam jsem promazával frontu a v jedné chvíli se mi jich
naštosovalo skoro 200 za cca 10 min... :-(
>
> Tomáš
Zdraví
Honza Marek
--
Ing. Jan Marek | Nez mi poslete prilohu .doc, .xls
University of South Bohemia | nebo .ppt, prectete si, prosim,
Academic Computer Centre | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080 | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html
Další informace o konferenci Linux