Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?
Le Wed, 2 Sep 2009 09:08:49 +0100, Thomas Mangin a écrit : > > Et non, y a pas de solution miracle (faites moi signe si vous en > trouvez une :D) > Demandes à fantec les patches pour faire un puits de requêtes SMTP filtrant sur du postfix ... on sait jamais, si çà trouve çà peut marcher (double sens) ;-) a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?
Francois Petillon a écrit : Julien Escario wrote: Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un serveur mail. J'ai cru à une attaque dictionnaire au début et après analyse, c'est quasiment toujours sur les mêmes adresses et en provenance d'une grand quantité d'hôte différents (ou alors ils sont spoofés). Le spoofing sur des sessions TCP qui véhiculent des mails, on en entend souvent parler mais on ne les voit jamais. Mouais, je ne sais pas ... Disons qu'en étant 'bien placé', spoofer, c'est possible. Pour le botmaster lambda, ca l'a l'air plus facile d'avoir 3 zombies de plus que de chercher le moyen de spoofer des adresses (cf discussion site de Cisco). J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les RFC, n'est pas condamnable ... Comme cela a été signalé, un From en <> correspond souvent avec des bounces (normalement, n'importe quelle réponse automatique devrait être renvoyée avec un <> en from enveloppe pour éviter de générer des boucles). Donc probablement un spammeur qui utilise ton domaine poure spammer. Oui, ça semble effectivement la chose la plus probable. Dommage que les adresses de bounce n'existent pas, j'aurais pu confirmer ça en lisant le message brt Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer une 10aine de mails sur chaque adresse. Ensuite ils changent d'adresse et réessaient. S'il s'agit bien de bounces, le spammeur a pris une liste d'adresses et les utilise aléatoirement (et je subodore que tu ne vois au final qu'une infime fraction des bounces générés). C'est certain. Je me prend les bounces de ceux qui n'ont pas détecté les mails comme spam (voir pire : qui envoient un avertissement sur détection). J'avais déjà vu un spammeur qui rajoutait deux caractères aléatoires à la partie gauche de l'email (ce qui du coup impliquait une forte probabilité d'inexistance de l'email et je blacklistais les IPs bounceuses à tour de bras). Je n'ai pas cette version là apparemment ;-) Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai plus de mal ... # ./liststats last expire was 8486631s ago 1636912 IP found out of 2099788 Soit 1.6 millions d'IP blacklistée en ce moment (et pour des blacklistes qui durent moins de 24h, ça laisse une idée du nombre de PC compromis dans la nature) et le record est de presque 2.1 millions... Hmmm, je vois. Si je comprend bien, la seule solution, c'est de blacklister temporairement (de préférence à un niveau firewall), les IPs sourcent des bounces. Ca ne me plait guère quand même ... Autre solution mais préventive : SPF (mais combien de ces serveurs vérifient ça en réception ?). Non, vraiment je ne vois pas trop de solution ... Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?
Julien Escario wrote: Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un serveur mail. J'ai cru à une attaque dictionnaire au début et après analyse, c'est quasiment toujours sur les mêmes adresses et en provenance d'une grand quantité d'hôte différents (ou alors ils sont spoofés). Le spoofing sur des sessions TCP qui véhiculent des mails, on en entend souvent parler mais on ne les voit jamais. J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les RFC, n'est pas condamnable ... Comme cela a été signalé, un From en <> correspond souvent avec des bounces (normalement, n'importe quelle réponse automatique devrait être renvoyée avec un <> en from enveloppe pour éviter de générer des boucles). Donc probablement un spammeur qui utilise ton domaine poure spammer. Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer une 10aine de mails sur chaque adresse. Ensuite ils changent d'adresse et réessaient. S'il s'agit bien de bounces, le spammeur a pris une liste d'adresses et les utilise aléatoirement (et je subodore que tu ne vois au final qu'une infime fraction des bounces générés). J'avais déjà vu un spammeur qui rajoutait deux caractères aléatoires à la partie gauche de l'email (ce qui du coup impliquait une forte probabilité d'inexistance de l'email et je blacklistais les IPs bounceuses à tour de bras). Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai plus de mal ... # ./liststats last expire was 8486631s ago 1636912 IP found out of 2099788 Soit 1.6 millions d'IP blacklistée en ce moment (et pour des blacklistes qui durent moins de 24h, ça laisse une idée du nombre de PC compromis dans la nature) et le record est de presque 2.1 millions... François --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?
Hihi oui. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?
Bonsoir, au risque de dire une ânerie ce serait pas plutôt quelqu'un qui spammerait avec l'adresse "proconsu...@domaineclient.com", et que certains serveurs destinataires renvoient bêtement et à tort un bounce au tient ? Olivier Julien Escario a écrit : Bonsoir, Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un serveur mail. J'ai cru à une attaque dictionnaire au début et après analyse, c'est quasiment toujours sur les mêmes adresses et en provenance d'une grand quantité d'hôte différents (ou alors ils sont spoofés). Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer une 10aine de mails sur chaque adresse. Ensuite ils changent d'adresse et réessaient. J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les RFC, n'est pas condamnable ... Exemple d'un transcript postfix : Sep 1 19:29:33 dedie03 postfix/smtpd[17789]: 7F2AA2AEEE: client=mail.genesisft.com[199.227.139.133] Sep 1 19:29:33 dedie03 postfix/cleanup[17474]: 7F2AA2AEEE: message-id=<20090901172933.7f2aa2a...@smtp.mondomaine.com> Sep 1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: from=<>, size=17212, nrcpt=1 (queue active) Sep 1 19:29:34 dedie03 postfix/virtual[17706]: 7F2AA2AEEE: to=, relay=virtual, delay=0.93, delays=0.85/0.01/0/0.07, dsn=5.1.1, status=bounced (unknown user: "proconsu...@domaineclient.com") Sep 1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: removed D'après quelques échantillons, chaque IP cliente n'a envoyé que quelques e-mails dans la journée. Sep 1 02:34:31 serveur postfix/smtpd[4528]: connect from unknown[61.136.62.74] $ cat /var/log/mail.log |grep 61.136.62.74 |grep ": connect" |wc -l 36 Et ça, c'est un cas extrême ... Bref, ca ressemble beaucoup à un botnet qui m'en voudrait. Est-ce que certains d'entre vous ont déjà vu un truc comme ça ? Vous avez trouvé une protection ? Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai plus de mal ... Pour l'instant, j'ai mis en place une RBL + blacklist maison en extrayant des adresses manuellement. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Botnet qui s'énerve sur un de mes serveurs ?
main.cf : reject_non_fqdn_sender La RFC elle dit ce qu'elle veut (j'ai pas vérifié et je ne m'en souviens plus), un message sans adresse email dans le from ça part direct à la cuvette. Julien Escario a écrit : Bonsoir, Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un serveur mail. J'ai cru à une attaque dictionnaire au début et après analyse, c'est quasiment toujours sur les mêmes adresses et en provenance d'une grand quantité d'hôte différents (ou alors ils sont spoofés). Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer une 10aine de mails sur chaque adresse. Ensuite ils changent d'adresse et réessaient. J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les RFC, n'est pas condamnable ... Exemple d'un transcript postfix : Sep 1 19:29:33 dedie03 postfix/smtpd[17789]: 7F2AA2AEEE: client=mail.genesisft.com[199.227.139.133] Sep 1 19:29:33 dedie03 postfix/cleanup[17474]: 7F2AA2AEEE: message-id=<20090901172933.7f2aa2a...@smtp.mondomaine.com> Sep 1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: from=<>, size=17212, nrcpt=1 (queue active) Sep 1 19:29:34 dedie03 postfix/virtual[17706]: 7F2AA2AEEE: to=, relay=virtual, delay=0.93, delays=0.85/0.01/0/0.07, dsn=5.1.1, status=bounced (unknown user: "proconsu...@domaineclient.com") Sep 1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: removed D'après quelques échantillons, chaque IP cliente n'a envoyé que quelques e-mails dans la journée. Sep 1 02:34:31 serveur postfix/smtpd[4528]: connect from unknown[61.136.62.74] $ cat /var/log/mail.log |grep 61.136.62.74 |grep ": connect" |wc -l 36 Et ça, c'est un cas extrême ... Bref, ca ressemble beaucoup à un botnet qui m'en voudrait. Est-ce que certains d'entre vous ont déjà vu un truc comme ça ? Vous avez trouvé une protection ? Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai plus de mal ... Pour l'instant, j'ai mis en place une RBL + blacklist maison en extrayant des adresses manuellement. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/