Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?

Tue, 01 Sep 2009 10:58:22 -0700 

Bonsoir,
au risque de dire une ânerie ce serait pas plutôt quelqu'un qui spammerait avec l'adresse "[email protected]", et que certains serveurs destinataires renvoient bêtement et à tort un bounce au tient ? 

Olivier

Julien Escario a écrit :

Bonsoir,

Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un 
serveur mail. J'ai cru à une attaque dictionnaire au début et après 
analyse, c'est quasiment toujours sur les mêmes adresses et en 
provenance d'une grand quantité d'hôte différents (ou alors ils sont 
spoofés).



Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer 
une 10aine de mails sur chaque adresse. Ensuite ils changent d'adresse 
et réessaient.



J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les 
RFC, n'est pas condamnable ...


Exemple d'un transcript postfix :


Sep  1 19:29:33 dedie03 postfix/smtpd[17789]: 7F2AA2AEEE: 
client=mail.genesisft.com[199.227.139.133]
Sep  1 19:29:33 dedie03 postfix/cleanup[17474]: 7F2AA2AEEE: 
message-id=<[email protected]>
Sep  1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: from=<>, 
size=17212, nrcpt=1 (queue active)
Sep  1 19:29:34 dedie03 postfix/virtual[17706]: 7F2AA2AEEE: 
to=<[email protected]>, relay=virtual, delay=0.93, 
delays=0.85/0.01/0/0.07, dsn=5.1.1, status=bounced (unknown user: 
"[email protected]")

Sep  1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: removed


D'après quelques échantillons, chaque IP cliente n'a envoyé que 
quelques e-mails dans la journée.
Sep  1 02:34:31 serveur postfix/smtpd[4528]: connect from 
unknown[61.136.62.74]

$ cat /var/log/mail.log |grep 61.136.62.74 |grep ": connect" |wc -l
36
Et ça, c'est un cas extrême ...


Bref, ca ressemble beaucoup à un botnet qui m'en voudrait. Est-ce que 
certains d'entre vous ont déjà vu un truc comme ça ?

Vous avez trouvé une protection ?

Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai 
plus de mal ...



Pour l'instant, j'ai mis en place une RBL + blacklist maison en 
extrayant des adresses manuellement.


Julien
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/























					Répondre à