ataque DDoS no SMTP

Question

ataque DDoS no SMTP

#1 resposta do (2 votos)
#2 resposta do (0 votos)

0

Eu não tenho certeza se este é o lugar certo para perguntar isso. Mas agora estou em uma situação muito difícil. Nosso servidor está passando por um ataque de DDoS por SMTP. O serviço de e-mail foi totalmente desativado. Verificamos com a equipe do datacenter e eles nos atualizaram para comprar um novo módulo de firewall, que não posso pagar agora. Quando tentamos alterar a porta, o ataque pode ser interrompido, mas o serviço de e-mail fica inativo. Existe alguma maneira possível de parar este ataque?

OS: CentOS 
Mail service : exim 
SMTP port used : 25

O log de e-mail atual é mostrado abaixo:

2013-10-16 00:35:10 SMTP syntax error in "320F475f0]6m255sL30y7}67]6V42n31515507[20*00]3153=n25\260731q5o2a326605A1440'2r13=6     056-s26C573;34h471614^71243"L2:zNn523r025x7u1OS: CentOS 
Mail service : exim 
SMTP port used : 25
6'74\vR4005@k51Y2346j!?96&6)5*:LP/[2013-10-16 00:35:10 SMTP syntax error in "320F475f0]6m255sL30y7}67]6V42n31515507[20*00]3153=n25\260731q5o2a326605A1440'2r13=6     056-s26C573;34h471614^71243"L2:zNn523r025x7u1%pre%6'74\vR4005@k51Y2346j!?96&6)5*:LP/[%pre%6043W6:P0<@0f6D544I647O27gT7O0Y%pre%3B0]503cj13h7|4n]6Bsr02xXmH~1]03OG17O&T6b631\fkY0}%pre%7G411'22\r7662^#3\b ):        4612431461|6R574]46661,5355X?3Mx77me465102@<77:7%pre%35\3701o17%pre%57V5%pre%4%pre%5504011660^N34IB100j6704#R3!037h,2^]>137DQ4qI52oNr?wSV46X424]3lpc2424O441C3@r'40w64"}0=%pre%726+561\r14l03%pre%6" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 NULL character(s) present (shown as '?')
2013-10-16 00:35:10 SMTP syntax error in "Q66J641y3;70W$64\b434400o#%pre%65A653DF%7155;46624{"E7P2<6422\27256@1631 %pre%5042o6\rkl31%5042O67z%pre%3%pre%2a7\~6(64+3H270671S43L5%pre%7"2,)57kWJ427064344332I5R03W,F511J?2?O157U6n4Z3b1'L78e49vi,7766Xa47750$3[6000%pre%24s4\b234%pre%4H1u335703055u7o3\fd~014Z516622/'7[P2440~17_2645j33:E1MZ%pre%67fH43300030v\Rd%pre%4b5fl0@#6527\b3201u75t423d22"17Y114>hw17325566#336(3C/547r13427t5 62FFB4e%pre%7H6#l342XRyc5WQV1426:a7/7f641k33urs1Tz5=6~375205(262074n5\vy6    0R631[J37Li440311=3P70h5211014t26Xa.41Q5086457+732780" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 NULL character(s) present (shown as '?')
2013-10-16 00:35:10 SMTP syntax error in "" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 unrecognized command
6043W6:P0<@0f6D544I647O27gT7O0Y%pre%3B0]503cj13h7|4n]6Bsr02xXmH~1]03OG17O&T6b631\fkY0}%pre%7G411'22\r7662^#3\b ):        4612431461|6R574]46661,5355X?3Mx77me465102@<77:7%pre%35\3701o17%pre%57V5%pre%4%pre%5504011660^N34IB100j6704#R3!037h,2^]>137DQ4qI52oNr?wSV46X424]3lpc2424O441C3@r'40w64"}0=%pre%726+561\r14l03%pre%6" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 NULL character(s) present (shown as '?')
2013-10-16 00:35:10 SMTP syntax error in "Q66J641y3;70W$64\b434400o#%pre%65A653DF%7155;46624{"E7P2<6422\27256@1631 %pre%5042o6\rkl31%5042O67z%pre%3%pre%2a7\~6(64+3H270671S43L5%pre%7"2,)57kWJ427064344332I5R03W,F511J?2?O157U6n4Z3b1'L78e49vi,7766Xa47750$3[6000%pre%24s4\b234%pre%4H1u335703055u7o3\fd~014Z516622/'7[P2440~17_2645j33:E1MZ%pre%67fH43300030v\Rd%pre%4b5fl0@#6527\b3201u75t423d22"17Y114>hw17325566#336(3C/547r13427t5 62FFB4e%pre%7H6#l342XRyc5WQV1426:a7/7f641k33urs1Tz5=6~375205(262074n5\vy6    0R631[J37Li440311=3P70h5211014t26Xa.41Q5086457+732780" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 NULL character(s) present (shown as '?')
2013-10-16 00:35:10 SMTP syntax error in "" H=[181.67.204.178]:36043 I=[64.31.38.66]:25 unrecognized command

Mais uma vez, minhas sinceras desculpas se este não é o lugar certo para perguntar isso.

Atenciosamente, Arun Kurian

email smtp linux denial-of-service cpanel

por Arun Kurian 16.10.2013 / 06:37

2 respostas

Tags email smtp linux denial-of-service cpanel

Atualizando do Ubuntu 12.04 para o Ubuntu 13.10 Complementos do FireFox que não aparecem

score 2 · Answer 1

A julgar pela saída acima, isso parece mais ou menos a mesma botnet que está atacando um de nossos servidores também ... nossos logs mostraram algo tímido de 30k IPs únicos, com dados binários de lixo enviados a partir do momento em que a sessão TCP é até ... em tal situação, greylisting não ajuda nenhum, como o problema é causado pelas conexões simultâneas (em um ponto nós contamos cerca de 2000 conexões ativo / espera na saída netstat), que executa o MTA em seu limite de processo ou mata a CPU (se o limite de processos MTA for alto o suficiente). Por enquanto, ativamos uma política de firewall para bloquear qualquer SMTP de entrada que não seja originado de nossas redes (/ 16, / 19), esperando que as crianças f @ cking script perderão o interesse em breve e parem o ataque de bot. O que teríamos que configurar aqui é algum tipo de ferramenta transparente de baixo impacto que cuida do handshake do TCP, verifica se há uma conexão válida e, nesse caso, falsifica o handshake e os dados iniciais e permite que o restante do fluxo da sessão através sem qualquer interação ... Sim, eu sei que existem soluções comerciais que fazem isso, mas elas estão bem na faixa de 5 dígitos ...

score 0 · Answer 2

É muito difícil aconselhá-lo sem muito mais conhecimento sobre o que está acontecendo (por exemplo, detalhes de tráfego e perfil do servidor), e mesmo assim, esse provavelmente não é o fórum correto para perguntar - o Serverfault pode ser melhor?

Produza o problema !!

Dependendo do seu perfil, você pode querer ver "cultivar o problema". Com isso, quero dizer para obter outro provedor de e-mail para lidar com seu e-mail recebido e encaminhá-lo para você. Permitir apenas conexões desse provedor de e-mail e seus endereços IP internos. Uma pesquisa por "serviços de filtro de e-mail smtp" provavelmente fornecerá alguns provedores candidatos, ou seu provedor de upstrema poderá oferecer esse serviço.

Soluções gerais "faça você mesmo":

Se tiver certeza de que é (altamente) distribuído, tente ativar greylisting . Isso pode ajudar bastante dependendo da natureza do ataque.

Se o problema for proveniente de vários servidores (mas não é extremamente distribuído), observe o uso do fail2ban e a gravação de algumas regras personalizadas. Descobri que faz maravilhas em ataques distribuídos em meus sites wordpress.

Provavelmente não é uma opção, mas pode ser. Você pode usar o iptables para bloquear regiões geográficas. Por exemplo, se seus clientes não estiverem na Rússia ou na China, você poderá bloquear solicitações SMTP de entrada desses intervalos usando a geolocalização. Naturalmente, isso também impedirá o tráfego legítimo, mas pode não ser um problema em um ambiente corporativo com um mercado-alvo.