DDoS via Postfix
Vitezslav Samel
vitezslav na samel.cz
Pátek Srpen 4 14:24:36 CEST 2017
On Fri, Aug 04, 2017 at 01:56:57PM +0200, Jan Marek wrote:
> Dd,
> On Fri, Aug 04, 2017 at 10:54:33AM +0200, Tomas Macek wrote:
> > On Mon, 31 Jul 2017, Vitezslav Samel wrote:
> > > On Mon, Jul 31, 2017 at 07:19:13AM +0200, Jan Marek wrote:
> > > > Dobrý den,
> > > >
> > > > na několika mnou spravovaných serverech jsem zaznamenal DDoS vůči
> > > > adrese 185.140.110.3. Zřejmě na ní někdo udělal spoustu A záznamů
> > > > s různými doménami, viz část fronty mého postfixu:
> > > >
> > > > E836740067 2564 Fri Jul 28 02:24:32 MAILER-DAEMON
> > > > (connect to dcmclaims.com[185.140.110.3]:25: Connection refused)
> > > > natalie25r0wec na dcmclaims.com
> > >
> > > [...]
> > >
> > > > Mechanismus byl takový, že přišel mail na neexistujícího
> > > > uživatele a toto všechno byla oznámení o tom, že uživatel
> > > > neexistuje. Maily ale přicházely z jiných adres, než
> > > > z 185.140.110.3.
> > > >
> > > > Měl by někdo nápad, jak se proti tomu bránit?
> > >
> > > postfix 3.0+
> > >
> > > v main.cf:
> > > smtpd_sender_restrictions =
> > > ...
> > > check_sender_a_access cidr:$config_directory/blacklist_sender_cidr,
> > > ...
> > >
> > > v blacklist_sender_cidr:
> > > 185.140.110.3 REJECT Known spammy sender
> > >
> > >
> >
> > Já mám takový dojem, že 185.140.110.3 za to nemůže, že ty maily chodí z
> > jiných IP a obsahujou návratovou mailovou adresu s doménou těch uměle
> > zřízených A záznamů. Na tom stroji pak nic neběží, takže to odmítá spojení.
Ano samozrejme.
> přesně tak.
>
> Napadlo mě, že by bylo šikovný tyhle maily poslat do /dev/null,
> zatím ale nevím, jak by se to dalo zařídit...
Bud moje reseni viz vyse (je to jen docasne reseni: proste se takove maily
vubec neprijmou a chudak na te adrese bude mit o neco min pokusu o
zahajeni SMTP relace) nebo ty vadne domeny dat do transport(5):
transport:
[...]
dcmclaims.com error:mail for dcmclaims.com is not deliverable
[...]
a pak je vsechny zkusit dorucit znovu. Toto reseni ma ale jednu
nevyhodu: kazdy takovy mail skonci u postmastera jako nedorucitelny ;-((
A jeste dalsi nevyhodu: kazdou takovou novou domenu tam je nutno dopsat.
Dalsim spolecnym znakem tech spamu (krome domeny odesilatele,
ktera se resolvuje na adresu 185.140.110.3) je i (relativne) podobny obsah
mailu, ktery lze vhodnym regexpem odmitnout pomoci body_checks.
Vita
>
> >
> > Takových mailů jsem tu měl tuny taky.
>
> ano, tu a tam jsem promazával frontu a v jedné chvíli se mi jich
> naštosovalo skoro 200 za cca 10 min... :-(
>
> >
> > Tomáš
>
>
> Zdraví
> Honza Marek
> --
> Ing. Jan Marek | Nez mi poslete prilohu .doc, .xls
> University of South Bohemia | nebo .ppt, prectete si, prosim,
> Academic Computer Centre | WWW stranku uvedenou na poslednim
> Phone: +420-38-9032080 | radku signatury...
> http://www.gnu.org/philosophy/no-word-attachments.cs.html
Další informace o konferenci Linux