[FUG-BR] RES: ataque na porta 25 do qmail
Rodrigo Graeff
delphusbsd em gmail.com
Quarta Julho 15 10:59:54 BRT 2009
Se eu nãio me engano, há um patch pro qmail para fazer tarpit, bem
simplezinho de se instalar, eu acho que também pode ser feito via PF,
mas agora, se abrir uma instãncia do spamd para cada socket deste
bruteforce, coitada da sua máquina.
[ ]s
On Wed, 2009-07-15 at 10:51 -0300, Eduardo Alvarenga wrote:
> Tem sim, via ports (se não me engano).
>
> No OpenBSD é nativo.
>
> 2009/7/15 Thiago Gomes <thiagomespb em gmail.com>
>
> > o freebsd nao tem não ?
> >
> > 2009/7/15 Eduardo Alvarenga <eduardo.alvarenga em gmail.com>:
> > > Eu colocaria um SPAMD+PF (OpenBSD) pra filtrar e fazer tarpit nisso.
> > >
> > >
> > > Abrçao,
> > >
> > > 2009/7/15 Renato Frederick <frederick em dahype.org>
> > >
> > >> Normal, estao tentando fazer um brute force para tentar enviar spam
> > usando
> > >> smtp autenticado, passei por isto a dias atrás.
> > >>
> > >> Você tem algum IPS? Se tiver, pode limitar o número de conexões á porta
> > 25
> > >> por segundo. Se não tiver, aí vai ter que fazer manualmente um bloqueio
> > dos
> > >> IP's que estão tentando conexão.
> > >>
> > >>
> > >>
> > >> > -----Mensagem original-----
> > >> > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> > >> > nome de Grupo FUG FUG
> > >> > Enviada em: quarta-feira, 15 de julho de 2009 09:54
> > >> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > >> > Assunto: [FUG-BR] ataque na porta 25 do qmail
> > >> >
> > >> > Bom dia lista,
> > >> >
> > >> > Não sei se alguém esta passando o mesmo problema que eu aqui, estamos
> > >> > tendo
> > >> > uma acesso axaustivo na porta 25 por diversos IPs a um usuário que nem
> > >> > esta
> > >> > cadastrado no servidor de e-mail, com isso a porta 25 fica
> > >> > congestionada.
> > >> > Segue um log.
> > >> >
> > >> > Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.187.21.152
> > >> > Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:189.18.200.12
> > >> > Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.187.21.152
> > >> > Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:189.18.200.12
> > >> > Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:189.18.200.12
> > >> > Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.49.47.164
> > >> > Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.134.36.113
> > >> > Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:94.90.112.208
> > >> > Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.226.45.210
> > >> >
> > >> >
> > >> > E vem de inumeros Ips diferentes, podem ver que o sar em xxxx.com.br é o
> > >> > usuário que esses IPs estão tentando usar para enviar e-mails, mais
> > >> > mesmo
> > >> > sem sucesso as tentativas estão congestionando a porta 25 e não
> > >> > deixando
> > >> > quem realmente precisa enviar os e-mails
> > >> > Alguém ja passou por isso e poderia indicar uma forma de se proteger
> > >> > desse
> > >> > "ataque"
> > >> >
> > >> > Obrigado,
> > >> >
> > >> > Luís
> > >> > -------------------------
> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >> -------------------------
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>
> > >
> > >
> > >
> > > --
> > > Eduardo Alvarenga
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
Mais detalhes sobre a lista de discussão freebsd