Sziasztok
Ilyennel még nem találkoztam eddig. Adott egy postfix mailszerver, az utobbi órákban elérhetetlen az smtp
Ha leállitom és elinditom a postfixet akkor van hogy 1 mp-ig van connect, de aztán azonnal jön ez az áradat és kakukk:
Mar 20 18:00:29 akarmi postfix/smtpd[23092]: connect from unknown[190.49.168.37]
Mar 20 18:00:29 akarmi postfix/smtpd[23065]: setting up TLS connection from unknown[200.44.171.27]
Mar 20 18:00:29 akarmi postfix/smtpd[23088]: connect from smtp1.ojc.nuvio.net[208.77.12.51]
Mar 20 18:00:29 akarmi postfix/smtpd[23093]: connect from mail1.solint.net[208.187.218.190]
Mar 20 18:00:29 akarmi postfix/smtpd[23090]: connect from pelops.ihg-logistics.com[193.97.203.231]
Mar 20 18:00:29 akarmi postfix/smtpd[23082]: setting up TLS connection from venus.serverside.net[66.162.125.100]
Mar 20 18:00:29 akarmi postfix/smtpd[23074]: connect from wmflb12na05.ezweb.ne.jp[222.15.69.200]
Mar 20 18:00:29 akarmi postfix/smtpd[23090]: setting up TLS connection from pelops.ihg-logistics.com[193.97.203.231]
Mar 20 18:00:29 akarmi postfix/smtpd[23086]: connect from gbmail.ntsource.com[65.182.169.23]
Mar 20 18:00:29 akarmi postfix/smtpd[23078]: connect from mta4.prod1.dngr.net[216.220.209.223]
Mar 20 18:00:29 akarmi postfix/smtpd[23094]: connect from 213.237.10.144.adsl.op.tiscali.dk[213.237.10.144]
Mar 20 18:00:29 akarmi postfix/smtpd[23081]: connect from smtp.awasco.com[204.107.189.30]
Mar 20 18:00:29 akarmi postfix/smtpd[23090]: TLS connection established from pelops.ihg-logistics.com[193.97.203.231]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Mar 20 18:00:29 akarmi postfix/smtpd[23100]: connect from ec2-67-202-19-135.compute-1.amazonaws.com[67.202.19.135]
Mar 20 18:00:29 akarmi postfix/smtpd[23102]: connect from smtp-vbr6.xs4all.nl[194.109.24.26]
Mar 20 18:00:29 akarmi postfix/smtpd[23064]: lost connection after RCPT from unknown[195.208.115.234]
Mar 20 18:00:29 akarmi postfix/smtpd[23064]: disconnect from unknown[195.208.115.234]
Mar 20 18:00:29 akarmi postfix/smtpd[23064]: connect from ec2-67-202-19-135.compute-1.amazonaws.com[67.202.19.135]
Mar 20 18:00:29 akarmi postfix/smtpd[23082]: TLS connection established from venus.serverside.net[66.162.125.100]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Mar 20 18:00:29 akarmi postfix/smtpd[23088]: setting up TLS connection from smtp1.ojc.nuvio.net[208.77.12.51]
Mar 20 18:00:29 akarmi postfix/smtpd[23093]: setting up TLS connection from mail1.solint.net[208.187.218.190]
Mar 20 18:00:29 akarmi postfix/smtpd[23105]: connect from p3mail.adhoc.net[213.152.192.135]
Mar 20 18:00:29 akarmi postfix/smtpd[23075]: TLS connection established from unknown[207.210.81.162]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Mar 20 18:00:29 akarmi postfix/smtpd[23069]: connect from westgate.starhub.net.sg[203.116.2.135]
Mar 20 18:00:29 akarmi postfix/smtpd[23107]: connect from ip-87-204-120-253.netia.com.pl[87.204.120.253]
Mar 20 18:00:29 akarmi postfix/smtpd[23071]: connect from mta125.mail.tnz.yahoo.co.jp[203.216.244.132]
Mar 20 18:00:29 akarmi postfix/smtpd[23096]: connect from unknown[202.68.141.157]
Mar 20 18:00:29 akarmi postfix/smtpd[23110]: connect from mail.djurs.net[82.150.87.252]
Mar 20 18:00:29 akarmi postfix/smtpd[23111]: connect from mail.duncanmail.com[12.36.122.115]
Mar 20 18:00:29 akarmi postfix/smtpd[23099]: connect from nozone1.divisionx.com[208.100.1.108]
Mar 20 18:00:29 akarmi postfix/smtpd[23065]: TLS connection established from unknown[200.44.171.27]: TLSv1 with cipher RC4-MD
Mar 20 18:05:10 akarmi postfix/smtpd[23094]: disconnect from icebox.carson.ca.us[198.179.206.17]
Mar 20 18:05:10 akarmi postfix/smtpd[23068]: disconnect from apollo.csd.net[204.181.152.50]
Mar 20 18:05:10 akarmi postfix/smtpd[23068]: connect from mail2.proximit.fr[85.14.178.7]
Mar 20 18:05:11 akarmi postfix/smtpd[23068]: setting up TLS connection from mail2.proximit.fr[85.14.178.7]
Mar 20 18:05:11 akarmi postfix/smtpd[23068]: TLS connection established from mail2.proximit.fr[85.14.178.7]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Mar 20 18:05:11 akarmi postfix/smtpd[23094]: connect from s62.n12.vds2000.com[66.84.12.62]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: connect from mta164.mail.kcd.yahoo.co.jp[124.147.38.129]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: lost connection after CONNECT from mta164.mail.kcd.yahoo.co.jp[124.147.38.129]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: disconnect from mta164.mail.kcd.yahoo.co.jp[124.147.38.129]
Mar 20 18:05:11 akarmi postfix/smtpd[23065]: disconnect from mail3.click21.com.br[200.255.27.137]
Mar 20 18:05:11 akarmi postfix/smtpd[23065]: connect from rpt-mailgw01.politi.dk[195.215.8.89]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: connect from dslb-088-078-246-179.pools.arcor-ip.net[88.78.246.179]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: lost connection after CONNECT from dslb-088-078-246-179.pools.arcor-ip.net[88.78.246.179]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: disconnect from dslb-088-078-246-179.pools.arcor-ip.net[88.78.246.179]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: connect from ec2-67-202-19-135.compute-1.amazonaws.com[67.202.19.135]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: lost connection after CONNECT from ec2-67-202-19-135.compute-1.amazonaws.com[67.202.19.135]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: disconnect from ec2-67-202-19-135.compute-1.amazonaws.com[67.202.19.135]
Mar 20 18:05:11 akarmi postfix/smtpd[23154]: connect from out5.laposte.net[193.251.214.122]
Mar 20 18:05:11 akarmi postfix/smtpd[23094]: setting up TLS connection from s62.n12.vds2000.com[66.84.12.62]
Mar 20 18:05:11 akarmi postfix/smtpd[23094]: TLS connection established from s62.n12.vds2000.com[66.84.12.62]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Megszívtam? DDDDDDOS támadás? Lehet bármit tenni azonkívül hogy a shorewall-ba egyenként felveszem a támadólag ható ipket?
Esetleg valami shorewall rules sor amivel kivédhető az ilyen?
Próbáltam egy teljes 25-ös port tiltást lehet vesztemre :)
Remélem még sikerül kilőnöm a tüzfalat a bentmaradt taszkal, ha egyszer észhez tér.
PING www.xxx.yyy.zzz (www.xxx.yyy.zzz): 56 data bytes
64 bytes from www.xxx.yyy.zzz: icmp_seq=1 ttl=49 time=1032.8 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=4 ttl=49 time=1191.2 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=20 ttl=49 time=710.1 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=12 ttl=49 time=11276.4 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=13 ttl=49 time=11693.4 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=24 ttl=49 time=891.2 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=15 ttl=49 time=11354.8 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=26 ttl=49 time=1024.5 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=19 ttl=49 time=11298.9 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=27 ttl=49 time=12324.0 ms
64 bytes from www.xxx.yyy.zzz: icmp_seq=28 ttl=49 time=12548.1 ms
Köszi
- 2090 megtekintés
Hozzászólások
Szerencsére sikerült a gépet újra elérnem, konzolon át. De nem képzeltem volna hogy a 25-s port tiltása azt jelenti hogy meghal a szerver mindennemű kommunikációja a sok DROP miatt. Lehet REJECT kelett volna? Valami jó ötlet bárkinek? Törödjek bele hogy nincs levelezés és örüljek hogy a többi szolgáltatás működik?
Felraktam a szerverre egy "Network Traffic Analyzer 1.1" -t, éjféltől mostanáig (9:42) a forgalom:
IN = 508 MB
OUT = 425 MB
Talán ez még nem olyan sok, csak gyanusan közel van a küldött és fogadott bájtok száma egymáshoz.
- A hozzászóláshoz be kell jelentkezni
Hello !!
Szeretném leellenőrizni az smtp kommunikacioját mert nem jönnek be a levelek.......???
És megjavítani.....Please help
- A hozzászóláshoz be kell jelentkezni
5 perc alatt ennyi az ossz kapcsolodasi kiserlet? szvsz ez onmagaban nagyon messze van attol, hogy megfogjon egy szervert.
- A hozzászóláshoz be kell jelentkezni
Ez csak két kis részlet volt, ahogy nézem másodpercenként vannak hasonló rohamok.
Mar 21 06:26:00 akarmi postfix/smtpd[19110]: disconnect from py-out-1112.google.com[64.233.166.180]
Mar 21 06:26:00 akarmi postfix/smtpd[19110]: connect from ms23.hinet.net[168.95.4.23]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: disconnect from mx4.rwe.com[153.100.6.38]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: connect from artemis.dmz.transedge.com[216.217.188.15]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: lost connection after CONNECT from artemis.dmz.transedge.com[216.217.188.15]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: disconnect from artemis.dmz.transedge.com[216.217.188.15]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: connect from unknown[61.78.36.119]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: lost connection after CONNECT from unknown[61.78.36.119]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: disconnect from unknown[61.78.36.119]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: connect from fbvrgw.firstserver.ne.jp[164.46.1.51]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: lost connection after CONNECT from fbvrgw.firstserver.ne.jp[164.46.1.51]
Mar 21 06:26:00 akarmi postfix/smtpd[18740]: disconnect from fbvrgw.firstserver.ne.jp[164.46.1.51]
Mar 21 06:26:00 akarmi postfix/smtpd[18882]: setting up TLS connection from svn03.rss.digitalink.ne.jp[210.189.94.28]
Mar 21 06:26:00 akarmi postfix/smtpd[18351]: disconnect from nm06omta15.auone-net.jp[219.125.112.32]
Mar 21 06:26:00 akarmi postfix/smtpd[18351]: connect from unknown[66.199.252.34]
Mar 21 06:26:01 akarmi postfix/smtpd[18882]: TLS connection established from svn03.rss.digitalink.ne.jp[210.189.94.28]: TLSv1 wit
h cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)
Mar 21 06:26:01 akarmi postfix/smtpd[18489]: disconnect from mail-wa4.bigfish.com[216.32.181.10]
Mar 21 06:26:01 akarmi postfix/smtpd[18351]: setting up TLS connection from unknown[66.199.252.34]
Mar 21 06:26:01 akarmi postfix/smtpd[18351]: TLS connection established from unknown[66.199.252.34]: TLSv1 with cipher EDH-RSA-DE
S-CBC3-SHA (168/168 bits)
Mar 21 06:26:01 akarmi postfix/smtpd[18740]: connect from mx06.gw.osakafu-u.ac.jp[157.16.230.70]
Mar 21 06:26:01 akarmi postfix/smtpd[18489]: connect from ppp-124-121-73-52.revip2.asianet.co.th[124.121.73.52]
Mar 21 06:26:01 akarmi postfix/smtpd[18489]: lost connection after CONNECT from ppp-124-121-73-52.revip2.asianet.co.th[124.121.73
.52]
Mar 21 06:26:01 akarmi postfix/smtpd[18489]: disconnect from ppp-124-121-73-52.revip2.asianet.co.th[124.121.73.52]
Mar 21 06:26:01 akarmi postfix/smtpd[18489]: connect from mta2sn1.eplus-online.de[212.23.97.132]
Mar 21 06:26:02 akarmi postfix/smtpd[17829]: disconnect from smtp1.netcarrier.net[216.178.94.67]
Mar 21 06:26:02 akarmi postfix/smtpd[18740]: setting up TLS connection from mx06.gw.osakafu-u.ac.jp[157.16.230.70]
Mar 21 06:26:02 akarmi postfix/smtpd[17829]: connect from mercury.quattrotech.net[88.255.160.10]
Mar 21 06:26:02 akarmi postfix/smtpd[18723]: disconnect from newmx2.fast.net[209.92.1.32]
Mar 21 06:26:02 akarmi postfix/smtpd[18854]: disconnect from strato001.charlie.at[81.169.185.94]
Mar 21 06:26:02 akarmi postfix/smtpd[18854]: connect from unknown[66.235.180.213]
Mar 21 06:26:02 akarmi postfix/smtpd[17829]: setting up TLS connection from mercury.quattrotech.net[88.255.160.10]
Mar 21 06:26:02 akarmi postfix/smtpd[18612]: disconnect from mail.hivelocity.net[66.96.80.22]
Mar 21 06:26:02 akarmi postfix/smtpd[18612]: connect from nm05omta04.auone-net.jp[219.125.112.5]
Mar 21 06:26:02 akarmi postfix/smtpd[17829]: TLS connection established from mercury.quattrotech.net[88.255.160.10]: TLSv1 with c
ipher EDH-RSA-DES-CBC3-SHA (168/168 bits)
Mar 21 06:26:02 akarmi postfix/smtpd[18854]: setting up TLS connection from unknown[66.235.180.213]
Mar 21 06:26:02 akarmi postfix/smtpd[18740]: TLS connection established from mx06.gw.osakafu-u.ac.jp[157.16.230.70]: TLSv1 with c
ipher DHE-RSA-AES256-SHA (256/256 bits)
Mar 21 06:26:03 akarmi postfix/smtpd[19179]: disconnect from teledatase.com[209.192.4.58]
Mar 21 06:26:03 akarmi postfix/smtpd[19179]: connect from mail.domaindevils.com[66.70.108.220]
Mar 21 06:26:03 akarmi postfix/smtpd[18854]: TLS connection established from unknown[66.235.180.213]: TLSv1 with cipher DHE-RSA-A
ES256-SHA (256/256 bits)
Mar 21 06:26:03 akarmi postfix/smtpd[18723]: connect from fbmtap08.mail.bbt.yahoo.co.jp[202.93.90.110]
Mar 21 06:26:03 akarmi postfix/smtpd[18183]: disconnect from mta7.prod1.dngr.net[216.220.209.217]
Mar 21 06:26:03 akarmi postfix/smtpd[18183]: connect from nm01omta14.auone-net.jp[211.5.2.83]
Mar 21 06:26:03 akarmi postfix/smtpd[17975]: disconnect from orelay.sify.net[202.144.65.82]
Mar 21 06:26:03 akarmi postfix/smtpd[17975]: connect from bounces.ut.ee[193.40.5.137]
Mar 21 06:26:03 akarmi postfix/smtpd[17835]: disconnect from server101.nicgrabhosting.com[209.97.222.226]
Mar 21 06:26:03 akarmi postfix/smtpd[17835]: connect from cavalry.gwi.net[207.5.128.121]
Mar 21 06:26:03 akarmi postfix/smtpd[19029]: disconnect from unknown[168.186.253.9]
Mar 21 06:26:03 akarmi postfix/smtpd[18971]: disconnect from outgoing2.holservices.gr[194.30.193.21]
Mar 21 06:26:03 akarmi postfix/smtpd[18971]: connect from wa-out-1112.google.com[209.85.146.183]
Mar 21 06:26:04 akarmi postfix/smtpd[19029]: connect from plesk2.ntsource.com[65.182.174.155]
Mar 21 06:26:04 akarmi postfix/smtpd[19029]: setting up TLS connection from plesk2.ntsource.com[65.182.174.155]
Mar 21 06:26:04 akarmi postfix/smtpd[19029]: TLS connection established from plesk2.ntsource.com[65.182.174.155]: TLSv1 with ciph
er DHE-RSA-AES256-SHA (256/256 bits)
Mar 21 06:26:05 akarmi postfix/smtpd[18561]: disconnect from mailgate.yorkinternet.net[206.102.127.14]
Mar 21 06:26:05 akarmi postfix/smtpd[18561]: connect from mta146.mail.tnz.yahoo.co.jp[203.216.244.212]
Mar 21 06:26:05 akarmi postfix/smtpd[18561]: lost connection after CONNECT from mta146.mail.tnz.yahoo.co.jp[203.216.244.212]
Mar 21 06:26:05 akarmi postfix/smtpd[18561]: disconnect from mta146.mail.tnz.yahoo.co.jp[203.216.244.212]
Mar 21 06:26:05 akarmi postfix/smtpd[19289]: disconnect from silvertidesoftware.com[63.255.184.122]
Mar 21 06:26:06 akarmi postfix/smtpd[19289]: connect from mail.ericom.com[66.252.166.130]
Mar 21 06:26:06 akarmi postfix/smtpd[19289]: lost connection after CONNECT from mail.ericom.com[66.252.166.130]
Mar 21 06:26:06 akarmi postfix/smtpd[19289]: disconnect from mail.ericom.com[66.252.166.130]
Mar 21 06:26:06 akarmi postfix/smtpd[18561]: connect from cpe-74-70-30-113.nycap.res.rr.com[74.70.30.113]
Mar 21 06:26:06 akarmi postfix/smtpd[19289]: connect from unknown[70.254.176.131]
Mar 21 06:26:06 akarmi postfix/smtpd[19150]: disconnect from ns27920.ovh.net[91.121.89.25]
Mar 21 06:26:07 akarmi postfix/smtpd[19150]: connect from outgoing.balancer.mudbugmedia.com[72.3.216.198]
Mar 21 06:26:07 akarmi postfix/smtpd[19150]: setting up TLS connection from outgoing.balancer.mudbugmedia.com[72.3.216.198]
Mar 21 06:26:07 akarmi postfix/smtpd[19142]: disconnect from unknown[61.151.247.8]
Mar 21 06:26:07 akarmi postfix/smtpd[19150]: TLS connection established from outgoing.balancer.mudbugmedia.com[72.3.216.198]: TLS
v1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Mar 21 06:26:07 akarmi postfix/smtpd[18843]: disconnect from odyn.sys.adweb.pl[195.245.198.245]
Mar 21 06:26:07 akarmi postfix/smtpd[18843]: connect from unknown[211.133.129.177]
Mar 21 06:26:08 akarmi postfix/smtpd[19142]: connect from mta321.mail.ogk.yahoo.co.jp[124.83.178.189]
Mar 21 06:26:08 akarmi postfix/smtpd[19142]: lost connection after CONNECT from mta321.mail.ogk.yahoo.co.jp[124.83.178.189]
Mar 21 06:26:08 akarmi postfix/smtpd[19142]: disconnect from mta321.mail.ogk.yahoo.co.jp[124.83.178.189]
Mar 21 06:26:08 akarmi postfix/smtpd[18722]: disconnect from mail.acase.ru[194.186.75.83]
Mar 21 06:26:09 akarmi postfix/smtpd[17834]: disconnect from wf-out-1314.google.com[209.85.200.173]
Mar 21 06:26:09 akarmi postfix/smtpd[17834]: connect from wf-out-1314.google.com[209.85.200.170]
Mar 21 06:26:09 akarmi postfix/smtpd[18722]: connect from h-69-3-157-84.mclnva23.covad.net[69.3.157.84]
Mar 21 06:26:09 akarmi postfix/smtpd[18945]: disconnect from nsc69.38.12-133.newsouth.net[69.38.12.133]
Mar 21 06:26:09 akarmi postfix/smtpd[19142]: connect from mqa42.m2.home.ne.jp[220.152.32.181]
Mar 21 06:26:09 akarmi postfix/smtpd[18945]: connect from unknown[210.17.133.162]
Mar 21 06:26:09 akarmi postfix/smtpd[19000]: disconnect from mx2.bmw-avtoport.ru[195.28.43.92]
Mar 21 06:26:09 akarmi postfix/smtpd[19000]: connect from sapphire.uk-dns.com[62.149.35.15]
Mar 21 06:26:09 akarmi postfix/smtpd[19048]: disconnect from fk-out-0910.google.com[209.85.128.191]
Mar 21 06:26:09 akarmi postfix/smtpd[19048]: connect from py-out-1112.google.com[64.233.166.178]
Mar 21 06:26:10 akarmi postfix/smtpd[18572]: disconnect from mail-wa4.bigfish.com[216.32.181.10]
Mar 21 06:26:10 akarmi postfix/smtpd[18572]: connect from mx-uolar.uol.com.br[200.221.0.2]
Mar 21 06:26:10 akarmi postfix/smtpd[18572]: lost connection after CONNECT from mx-uolar.uol.com.br[200.221.0.2]
Mar 21 06:26:10 akarmi postfix/smtpd[18572]: disconnect from mx-uolar.uol.com.br[200.221.0.2]
Mar 21 06:26:10 akarmi postfix/smtpd[18572]: connect from j6.mir.gdynia.pl[153.19.105.6]
Mar 21 06:26:10 akarmi postfix/smtpd[19318]: disconnect from unknown[62.85.104.100]
Mar 21 06:26:11 akarmi postfix/smtpd[19318]: connect from 66.83.139.246.nw.nuvox.net[66.83.139.246]
Mar 21 06:26:11 akarmi postfix/smtpd[18986]: disconnect from mailer.iniservers.com[61.17.223.115]
Mar 21 06:26:11 akarmi postfix/smtpd[18986]: connect from mx2.mail.europcar.com[193.222.134.3]
Mar 21 06:26:11 akarmi postfix/smtpd[17340]: disconnect from alexito.webstor.com[216.46.167.100]
Mar 21 06:26:11 akarmi postfix/smtpd[17340]: connect from charlie.smtproutes.com[208.70.89.199]
Mar 21 06:26:12 akarmi postfix/smtpd[18839]: disconnect from unknown[66.11.122.226]
Mar 21 06:26:12 akarmi postfix/smtpd[18839]: connect from rader.servnow.com[69.93.129.4]
Mar 21 06:26:12 akarmi postfix/smtpd[18839]: setting up TLS connection from rader.servnow.com[69.93.129.4]
Mar 21 06:26:13 akarmi postfix/smtpd[18839]: TLS connection established from rader.servnow.com[69.93.129.4]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Mar 21 06:26:13 akarmi postfix/smtpd[19147]: lost connection after RCPT from pip25.ptt.js.cn[61.155.13.201]
Mar 21 06:26:13 akarmi postfix/smtpd[19147]: disconnect from pip25.ptt.js.cn[61.155.13.201]
Mar 21 06:26:13 akarmi postfix/smtpd[19147]: connect from bn1.barreirasnet.com.br[200.223.113.2]
Mar 21 06:26:14 akarmi postfix/smtpd[17723]: lost connection after RSET from oasis.digi.com.br[201.76.146.32]
Mar 21 06:26:14 akarmi postfix/smtpd[17723]: disconnect from oasis.digi.com.br[201.76.146.32]
Még tudnám másolni de felesleges szerintem
Egyenlőre a postfix-et teljesen lekapcsoltam, de gondolom pár ora nem válaszolás után se hagyják abba a DDOS támadást.
Maga a szerver külföldön fut egy ottani szolgáltatónál, az alap debian rendszer már rajta volt, én csak a szervizeket pakoltam rá, meg a tűzfalat.
Főbb paraméterek: Dual-Core AMD Opteron(tm) Processor 1218 HE, 4 GB ram
11:10:13 up 13:51
eth0 Link encap:Ethernet HWaddr 00:30:05:F8:EA:D7
inet addr:www.xxx.yyy.zzz Bcast:www.xxx.yyy.zzz Mask:255.255.255.255
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9441191 errors:0 dropped:0 overruns:0 frame:0
TX packets:5255073 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:745907387 (711.3 MiB) TX bytes:624211231 (595.2 MiB)
Interrupt:23 Base address:0xe000
Az intenzitásárol csak annyit ahogy irtabb fentebb is, a 25 port DROP-olása esetén a szerver elérhetetlen lett és 10000ms feletti válaszidőkkel volt pingelhető, konzolos belépésnél pedig csak a DROP sorok szaladtak a képernyőn, belépni se tudtam.
most beirtam a kernel.printk= 1 4 1 7 sort a /etc/sysctl.conf -ba ez szokott segiteni az ilyen konzolra iráson.
- A hozzászóláshoz be kell jelentkezni
Hali!
ez nem igazan ertheto, hogy "a 25 port DROP-olása esetén a szerver elérhetetlen lett "..hat persze, hiszen a 25-os portot kitiltod tuzfalon keresztul, akkor az smtp portjat tiltod le es ertheto, hogy a szerver elerhetetlen lett :) (felteve, ha a 25-os sztenderd porton figyel a postfix). Tehat nem szukseges a postfix-et leallitanod, eleg ha a tuzfalon kitiltod az adott portra iranyulo forgalmat.
Az, hogy a ping reply csomag olyan lassan jon vissza, annak tobb osszetevoje is lehet (pl. magas halozati terheles a ket hop kozott az alhalozaton, a switch tulterhelt, a te gepeden torrent stb. fut).
Most hogy allsz a 25-os port tiltasaval? Mindenkit kitiltottal?
--
qmi - Linux/FreeBSD SysAdm
http://www.libren.hu
- A hozzászóláshoz be kell jelentkezni
Szia
A pingelést egy a gépemtől független egyetemi hálón levő gépről csináltam, normál esetben 25ms válaszok jöttek.
ilyen futott a gépen mikor remote konzolon probáltam belépni, belépni persze nem sikerült
Mar 20 20:26:25 akarmi kernel: BUG: soft lockup - CPU#1 stuck for 11s! [httpd:3265]
Mar 20 20:26:25 akarmi kernel: CPU 1:
Mar 20 20:26:25 akarmi kernel: Modules linked in: xt_CONNMARK
Mar 20 20:26:25 akarmi kernel: Pid: 3265, comm: httpd Tainted: G M 2.6.23.16-20080211a #1
Mar 20 20:26:25 akarmi kernel: RIP: 0010:[lock_kernel+27/51] [lock_kernel+27/51] lock_kernel+0x1b/0x33
Mar 20 20:26:25 akarmi kernel: RSP: 0018:ffff81011c38bf50 EFLAGS: 00000286
Mar 20 20:26:25 akarmi kernel: RAX: ffff81011c759040 RBX: fffffffffffffff7 RCX: ffff81011d481650
Mar 20 20:26:25 akarmi kernel: RDX: 0000000000000000 RSI: 0000000000000004 RDI: ffff81011ed6ed80
Mar 20 20:26:25 akarmi kernel: RBP: 67866a5750000002 R08: 0000000000000002 R09: 0000000000000000
Mar 20 20:26:25 akarmi kernel: R10: 0000000000000000 R11: 0000000000000202 R12: ffffffff804e842b
Mar 20 20:26:25 akarmi kernel: R13: 00000000005c18e0 R14: 000000000098dee8 R15: 000000000098dec8
Mar 20 20:26:25 akarmi kernel: FS: 00002b77c2d3a520(0000) GS:ffff81011fc6aec0(0000) knlGS:0000000000000000
Mar 20 20:26:25 akarmi kernel: CS: 0010 DS: 0000 ES: 0000 CR0: 0000000080050033
Mar 20 20:26:25 akarmi kernel: CR2: 000000000044d3e0 CR3: 000000011bd5c000 CR4: 00000000000006e0
Mar 20 20:26:25 akarmi kernel: DR0: 0000000000000000 DR1: 0000000000000000 DR2: 0000000000000000
Mar 20 20:26:25 akarmi kernel: DR3: 0000000000000000 DR6: 00000000ffff0ff0 DR7: 0000000000000400
Mar 20 20:26:25 akarmi kernel:
Mar 20 20:26:25 akarmi kernel: Call Trace:
Mar 20 20:26:25 akarmi kernel: [sys_fcntl+478/739] sys_fcntl+0x1de/0x2e3
Mar 20 20:26:25 akarmi kernel: [system_call+126/131] system_call+0x7e/0x83
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=195.238.6.17
0 DST=87.106.134.103 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=38170 DF PROTO=TCP SPT=16536 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=66.221.136.1
DST=87.106.134.103 LEN=44 TOS=0x00 PREC=0x00 TTL=44 ID=65514 DF PROTO=TCP SPT=54959 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=202.5.32.9 D
ST=87.106.134.103 LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=35687 DF PROTO=TCP SPT=50842 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=66.94.237.55
DST=87.106.134.103 LEN=44 TOS=0x00 PREC=0x00 TTL=48 ID=35671 DF PROTO=TCP SPT=32777 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=209.198.112.
152 DST=87.106.134.103 LEN=64 TOS=0x00 PREC=0x00 TTL=50 ID=47615 DF PROTO=TCP SPT=51024 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=207.217.120.
246 DST=87.106.134.103 LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=39748 DF PROTO=TCP SPT=44099 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=195.238.6.6
DST=87.106.134.103 LEN=48 TOS=0x00 PREC=0x00 TTL=53 ID=44625 DF PROTO=TCP SPT=7057 DPT=25 WINDOW=16384 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=80.84.36.101
DST=87.106.134.103 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=16808 DF PROTO=TCP SPT=20051 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=66.249.92.16
0 DST=87.106.134.103 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=56996 PROTO=TCP SPT=4014 DPT=25 WINDOW=5720 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=81.80.115.21
1 DST=87.106.134.103 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=40992 DF PROTO=TCP SPT=26179 DPT=25 WINDOW=64512 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=195.101.164.
59 DST=87.106.134.103 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=12548 DF PROTO=TCP SPT=51663 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=68.153.37.37
DST=87.106.134.103 LEN=48 TOS=0x00 PREC=0x00 TTL=46 ID=63520 DF PROTO=TCP SPT=65107 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=128.121.94.2
45 DST=87.106.134.103 LEN=60 TOS=0x00 PREC=0x00 TTL=46 ID=57636 DF PROTO=TCP SPT=1485 DPT=25 WINDOW=57344 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=216.51.232.1
0 DST=87.106.134.103 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=5939 DF PROTO=TCP SPT=4520 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0
Mar 20 20:26:25 akarmi kernel: Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:05:f8:ea:d7:00:13:19:aa:eb:3f:08:00 SRC=194.95.249.4
DST=87.106.134.103 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=57839 DF PROTO=TCP SPT=35143 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0
- A hozzászóláshoz be kell jelentkezni
Ez kernel bug. Ilyenkor szerintem azonnali reboot kell. Latszik a backtrace-nel, hogy ezt egy httpd processz hivas idezte elo:
Mar 20 20:26:25 akarmi kernel: Pid: 3265, comm: httpd Tainted: G M 2.6.23.16-20080211a #1
Szoval szerintem nem a postfixen mulott a dolog eredetileg.
--
qmi - Linux/FreeBSD SysAdm
http://www.libren.hu
- A hozzászóláshoz be kell jelentkezni
Tipp: tuzfalban nem logolod veletlenul a drop-olt packageket? Siman el tudnam kepzelni, hogy az az, ami szaladgal a kepernyon.. :)
Iptables logolas csunyan megfoghat, bar nem tudom ennyire csunyan-e.
Ebben a logban nem latok kezbesitesre meg ilyesmire vonatkozo sorokat, az egyaltalan nincs, vagy csak kiszurted?
Ha nem csak kiszurted, content filtering van valami? Az megy?
- A hozzászóláshoz be kell jelentkezni
mi lenne, ha iptables-el limitálnád new kapcsolatok számát?
iptables -N SMTPTRAFF
iptables -A INPUT -i $WAN -p tcp --dport 25 -m state --state NEW -j SMTPTRAFF
iptables -A SMTPTRAFF -i $WAN -p tcp --dport 25 -m limit --limit 1/s -j ACCEPT
iptables -A SMTPTRAFF -i $WAN -p tcp --dport 25 -j DROP
még nem próbáltam ki, csak fejből írtam. Minden esetre, ha működik akkor még mindig lehet finomhangolni hogy pl 40/m.
Üdv:
Csabka
- A hozzászóláshoz be kell jelentkezni
persze ez csak egy sablon, nem tudom hogy pl dmz-ben van-e a mail szerver.... mert akkor érdemes a tűzfalon ezt megtenni, és figyelj oda a -A -ra mert az iptables script végére teszi!! Szándékosan nem -I -t írtam nehogy a sor elejére rakva legyen (amikor még illene tilteni a különböző fragmenteket)
- A hozzászóláshoz be kell jelentkezni
shorewall-t raktam a gépre, nemtudom abba be lehet-e valahogy aplikálni az általad leirt dolgokat. illetve a hálózatról se sokat tudok, egy németországi szerverpark, általuk adott gép illetve általuk telepitett debian szerver, dhcp-vel kiosztott fixip, én meg ssh-val próbálom igazgatni.
lehet valami kernel bug?
2.6.23.16-20080211a
model name : Dual-Core AMD Opteron(tm) Processor 1218 HE
- A hozzászóláshoz be kell jelentkezni
"iptables -L -n -v --line-numbers" ezzel ki tudod iratni a jelenlegi szabályokat és a sorszámot (a shorewall is iptables-t használ)
az általam megadott -A INPUT helyett használj -I INPUT és a többi maradhat ugyan úgy. Ezzel a szabállyal tönkretenni nem fogod a többi hozzáférést, csak a 25-ös portra fog vonatkozni (legrosszabb esetben nem lesz bejövő mail)
Ha végképp tanácstalan vagy, akkor illeszd a legelejére . A -I csak az INPUT táblára vonatkozzon az SMTPTRAFF-ra maradjon -A.
Üdv:
Csabka
ui: ez csak egy tüneti kezelés, de ideiglenesen jó lehet neked.
- A hozzászóláshoz be kell jelentkezni
Ha DOS akkor szolj az ISP-nek hogy ez a helyzet es adjanak segitseget.
Ha iptablessel limitalod az smtp kapcsolatok szamat akkor meg az is elkepzelheto, hogy valamennyire hasznalhato marad a rendeser.
Ha mar vallaltal egy szerver uzemelteteset akkor legalabb nez utana azoknak a temaknak amihez nem ertesz.
York.
------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."
- A hozzászóláshoz be kell jelentkezni
Esetleg automatizálhatod a támadók blokkolását.
- A hozzászóláshoz be kell jelentkezni
Úgytünik, drága hunger barátomnak sikerült megoldani a problémáimat. Hála neki most megoszthatok két információt veletek is ami megoldotta a "támadást" ami inkább valószínűleg spamáradat volt, bár nekem inkább a DDOS támadásra hajaz még mindig.
2 dolog hibádzott a rendszerben ami miatt történtek a gondok:
1. boot paraméternek kelett a "nosoftlockup" opció, ezzel sikerült a kernel BUG-ot kiiktatni, és ebben az esetben már nem akadt ki a rendszer a 25-s port blokkolása esetén sem.
2. A postfix pedig a következő opciót szomjazta, hogy ki tudja szolgálni ezt a sok mailkérést, alapból állitólag 100 a default érték. A main.cf-be kell berakni a következő sort:
default_process_limit = 1000
És egy utolsó adalék. Ahhoz képest hogy ez egy normál szerver, pár domainnel, az imént felrakott mailgraph szerint 260.000 db rejected mail volt kb. 12 óra alatt ami 21.000 mail/óra
Remélem ez pár információ esetleg másoknak is hasznos lehet majd.
Köszi az építő kritikákat, és mégegyszer köszönet hunger szakértelmének.
- A hozzászóláshoz be kell jelentkezni