Dictionary-spam 1500 ip-ről

Security-all

A napokban jött át egy új domain az általam üzemeltetett szerverre. A levelezés áthozását követően több száz, majd több, mint ezer különböző IP-ről elkezdett özönleni a levél mindenféle kitalált címre. Az elő dolog a pánik volt, majd a tűzfalba tettem az sszes IP-t aki nemltező címre ír. - Eddig 1468 cím van rajta.

Ez az első ilyen komoly roham aszerver ellen. Érdekelne, a vén rókák mit csinálnak ilyen helyzetben. A bruteforceblockert használom SSH bruteforce ellen, ennek létezik egy központi listája. Nincs ugyanilyen megoldás (bizonyos számú hibás kísérlet után tűzfal, amjd nyilvános lista) spamre?

Köszi!
B

  • 1864 megtekintés

( sj | 2008. 01. 25., p – 09:24 )

Az elő dolog a pánik volt, majd a tűzfalba tettem az sszes IP-t aki nemltező címre ír

Ahh, a jo oreg DHA attak. Na es mi van azokkal, akik elgepelnek egy email cimet? Jol megbunteted oket? Ezt ugy lehetne okosan megoldani, hogy figyeled, hogy egy adott smtp session-on belul hany ervenytelen cimet ad meg a felado. Ha pedig ez a szam (vagy arany) meghalad egy erteket, akkor lehet egy olyan feketelistara|tuzfalszabalyba tenni, ami x ido mulva lejar. Igy ha valaki csak ugyetlen volt, azt nem tiltottad ki orokre.

ASK Me No Questions, I'll Tell You No Lies

( hokuszpk | 2008. 01. 25., p – 09:50 )

nam tartom magam oreg rokanak, es hogy-hogynem az assp (assp.sourceforge.net) ezt is megoldja helyettem.
a kulcsszavak az assp konfigban : smtp session limits es a penalty box cimszo alatt.

kb. 18 honapja hasznalom tobb gepen (jelenleg 8, de nemsokara indul a 9-ik) , eddig biztonsagi problemam nem volt vele, varatlan leallast / elszallast egyik sem produkalt.
foleg a delay/greylist miatt kezdtem el hasznalni, de ha jol belovod, akkor szvsz a statisztikai szuroje is jo ( nemsokara megcsinalom SJ-nek a tesztet, es akkor lesz viszonyitasi pont) , de ezen felul meg tud rengeteg mindent, es gyakorlatilag barmelyik mailszerverrel kooperal. (ha azonos gepen van az mta, akkor arrebb kell rakni az smtp szerver portjat, es ennyi, ha masik gepen figyel, akkor meg ennyisem)
kb. 3-4 havonta jelenik meg friss verzio, eddig az upgrade sem okozott erzekelheto kiesest.
ami erdekes lehet, az a terhelhetosege, a legnagyobb amit eddig alkottam, az ~900 user, es napi ~40K level, 2.8-as Dual Xeon (ht) cpu/2G ram, kb. 30-45% atlagos cputerheles.
(( a tobbi gepen napi ~10-13K level, es ugy 10-15% atlagos cputerheles, de ezek joval gyengebbek, mint az emlitett xeonos masina. jellemzoen 1.8 - 2.4 Ghz kozotti egymagos cuccok ))

ha nem ldapot hasznalsz (mondjuk azt meg sosem probaltam), akkor rabizza az smtp szerverre az userazonositast.
smtp authot tudja proxyzni, es akinek kuldesz levelet, azt mindjart fel is veszi a feherlistajara.
az smtp auth nalam most igy van beallitva (meg sosem ellenoriztem vissza, hogy vajon pontosan hogy csinalja, de asszem elobb-utobb megteszem.)

Most jutottam el odaig, hogy feltegyem es kiprobaljam. Viszont rogton belefutottam egy olyan problemaba, amire egyelore nem talalom a megoldast. exim4 az MTA, ami SQL-bol veszi a virtualis juzereket, domaineket, postafiokokat, aliasokat... mindent. Jelenleg barhogy ugykodom, a legjobb amit el tudtam erni, hogy az MTA altal local domainnek mondott domainekre fogad mailt ASSP-n keresztul, de fura mod user illesztes mar nem tortenik SMTP idoben. Igy a test@test.org-ra (test.org fel van vele local domainnek MTA-ban) siman bejon a level, holott a test user nem letezik; s ezutan general az MTA egy bounce-t. A leirasok sajnos nagyon szegenyesek, a FAQ ezer eves, a Wiki oldalak gyakorlatilag uresek. :/

mostigy hirtelen raneztem a buglistre, ha jollatom, akkor 10 open, ebbol peldul engem nem erint az 'LDAP Password in Plain Text in Log' ( perpill ahol assp van, nem hasznalok LDAPot ) meg a 'rebuildspamdb.pl Fails on Win32 When Spaces in Path ' mer nemhasznalok windowst ; szoval sztem elviselheto, plane ugy, hogy ez jelenleg nem az a projekt, amivel mar nemfoglalkozik senki (na azert lekopogom, mer amikor illen kijelentest teszek, akkor szokik felbemaradni a josag.)

( vbence | 2008. 01. 25., p – 11:53 )

Köszi az eddigi válaszokat.

A sa-spamd van fent, gondolom ez nem a síma "spamd". Futnak ezek együtt?

A tűzfalazás természetesen nem végleges megoldás. A szerver nem bonyolít akkora (legitim) levélforgalmat, hogy nagy legyen az esélye "ártatlanok" letiltásának. Viszont a másodpercenkénti több próbálkozás DOS-t jelentett más szolgáltatásokban. (Láttam már ilyentől Mandrake-et totál lehalni, a FreeBSD azért emelt fővel állta a sarat, de a mxsql-nél jelentkeztek mindenféle limitek). Szóval ez volt a gyors megoldás a szolgáltatás fenntartására.

Az igazi megoldásként egy (php) szkriptet képzeltem el, ami mondjuk 10 percenként átfut a friss logon, aztán SQL-ből már mindenféle statisztikát lehet csinálni ez alapján, de ez lényegesen tübb időt vett volna igénybe...

Az assp-nek utána nézek.

( vbence | 2008. 01. 26., szo – 17:15 )

Csak hogy a probléma volumenét szemléltessem: a tegnapi nap folyamán a spam szabály a tűzfalban 5 és fél MEGÁNYI adatot szűrt ki. "block in" van, úgyhogy ezek csupán a kapcsolódási kísérletek legelső TCP csomagjai...

( vbence | 2008. 01. 28., h – 12:16 )

Na.. van már PHP-s mérlegelős megoldás a problémára. A szkript passzív, a logon dolgozik, nem fut le minden logbejegyzéskor és nem kell átvezetni rajta a leveleket. (A listák mysql-ben tárolódnak).

Per pill, működő beállítás: a blokkolás feltétele minimum 5 rosszpont, de ha van jó pont is, akkor minimum ennek tízszerese. (bad >= 5 AND bad > good * 10)
A rosszpontok 4 napig maradnak meg (tehát a tiltás is max 4 napig tart). A jó pontok 10 napig élnek.
Jó pontot jelent egy sikeresen queue-ba került levél. Rossz pont a nemlétező címre írás, a relay próbálgatás és az amavis által kiszűrt spam.

Ha van valami ötlet a fejlesztésre, esetleg valakit érdekel a kód vagy csinálna belőle igazi open-source pojektet, minden kommentet szivesen várok.