DDoS via Postfix

Jan Marek jmarek na jcu.cz
Pondělí Červenec 31 07:19:13 CEST 2017 

Dobrý den,

na několika mnou spravovaných serverech jsem zaznamenal DDoS vůči
adrese 185.140.110.3. Zřejmě na ní někdo udělal spoustu A záznamů
s různými doménami, viz část fronty mého postfixu:

E836740067     2564 Fri Jul 28 02:24:32  MAILER-DAEMON
              (connect to dcmclaims.com[185.140.110.3]:25:
Connection refused)
                                         natalie25r0wec na dcmclaims.com

E8B0F1B010     3410 Sun Jul 30 20:53:30  MAILER-DAEMON
        (connect to benjaminsgalena.com[185.140.110.3]:25:
Connection refused)
                                         bronislav542bed1jindra na benjaminsgalena.com

EA9721153D     3342 Sat Jul 29 20:09:46  MAILER-DAEMON
        (connect to vanityaffairent.com[185.140.110.3]:25:
Connection refused)
                                         timofejabw7k2tzak na vanityaffairent.com

EAD301C0EC     3341 Sat Jul 29 19:42:12  MAILER-DAEMON
        (connect to vanityaffairent.com[185.140.110.3]:25:
Connection refused)
                                         jarmil0k2na7xkohout na vanityaffairent.com

EC6B71C0C8     3355 Thu Jul 27 18:41:42  MAILER-DAEMON
          (connect to aptusaviation.com[185.140.110.3]:25:
Connection refused)
                                         zdislava8g3ct7esterba na aptusaviation.com

ECC841D057     3385 Sat Jul 29 14:43:14  MAILER-DAEMON
         (connect to paigewakefield.com[185.140.110.3]:25:
Connection refused)
                                         ivabtspdy4marek na paigewakefield.com

EE4412E523     3277 Sun Jul 30 06:48:21  MAILER-DAEMON
               (connect to puterkey.com[185.140.110.3]:25:
Connection refused)
                                         viliam43bktn6tomek na puterkey.com

F0B2D1C0EE     3263 Mon Jul 31 06:56:18  MAILER-DAEMON
             (connect to galdarenet.com[185.140.110.3]:25:
Connection refused)
                                         bohumirbtsa7qg na galdarenet.com

F101C34068     3403 Sun Jul 30 21:44:23  MAILER-DAEMON
        (connect to benjaminsgalena.com[185.140.110.3]:25:
Connection refused)
                                         janw9zm1nyzahradnik na benjaminsgalena.com

Mechanismus byl takový, že přišel mail na neexistujícího
uživatele a toto všechno byla oznámení o tom, že uživatel
neexistuje. Maily ale přicházely z jiných adres, než
z 185.140.110.3.

Měl by někdo nápad, jak se proti tomu bránit?

Děkuje a zdraví
Honza Marek
-- 
Ing. Jan Marek               | Nez mi poslete prilohu .doc, .xls 
University of South Bohemia  | nebo .ppt, prectete si, prosim,
Academic Computer Centre     | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080       | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html

Další informace o konferenci Linux