[FUG-BR] RES: ataque na porta 25 do qmail
Renato Frederick
frederick em dahype.org
Quarta Julho 15 10:21:53 BRT 2009
Normal, estao tentando fazer um brute force para tentar enviar spam usando smtp autenticado, passei por isto a dias atrás.
Você tem algum IPS? Se tiver, pode limitar o número de conexões á porta 25 por segundo. Se não tiver, aí vai ter que fazer manualmente um bloqueio dos IP's que estão tentando conexão.
> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome de Grupo FUG FUG
> Enviada em: quarta-feira, 15 de julho de 2009 09:54
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: [FUG-BR] ataque na porta 25 do qmail
>
> Bom dia lista,
>
> Não sei se alguém esta passando o mesmo problema que eu aqui, estamos
> tendo
> uma acesso axaustivo na porta 25 por diversos IPs a um usuário que nem
> esta
> cadastrado no servidor de e-mail, com isso a porta 25 fica
> congestionada.
> Segue um log.
>
> Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:190.187.21.152
> Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:190.187.21.152
> Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:190.49.47.164
> Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:190.134.36.113
> Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:94.90.112.208
> Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not
> found
> sar em XXXX.com.br:190.226.45.210
>
>
> E vem de inumeros Ips diferentes, podem ver que o sar em xxxx.com.br é o
> usuário que esses IPs estão tentando usar para enviar e-mails, mais
> mesmo
> sem sucesso as tentativas estão congestionando a porta 25 e não
> deixando
> quem realmente precisa enviar os e-mails
> Alguém ja passou por isso e poderia indicar uma forma de se proteger
> desse
> "ataque"
>
> Obrigado,
>
> Luís
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd