LINUX.ORG.RU

что это было? Попытка убить почтовик?


0

2

посыпались сотни сообщений от посфикса с темой

Postfix SMTP server: errors from rf.mephi.ru[80.250.160.37]

содержание следующее
----------------------------------------------------------
Transcript of session follows.

Out: 220 mail.my_server.ru ESMTP Postfix
In: EHLO RFCORE
Out: 250-mail.my_server.ru
Out: 250-PIPELINING
Out: 250-SIZE 18790000
Out: 250-ETRN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: AUTH LOGIN
Out: 502 5.5.2 Error: command not recognized

Session aborted, reason: lost connection

For other details, see the local mail logfile

в логе вроде только записи
postfix/smtpd[20600]: connect from rf.mephi.ru[80.250.160.37]
postfix/smtpd[20600]: lost connection after UNKNOWN from rf.mephi.ru[80.250.160.37]
postfix/smtpd[20600]: disconnect from rf.mephi.ru[80.250.160.37

-------------------------------------------------------
сделал

iptables -A OUTPUT -d 80.250.160.37 -o eth0 -j DROP
iptables -A INPUT -s 80.250.160.37 -i eth0 -j DROP

не помогло.

по нетстату

netstat -atn | grep 80.250.160.37
всеравно выдавало
tcp 0 0 xx.xx.xx.xx:25 80.250.160.37:1730 ESTABLISHED

плюс иногда мелькало
tcp 0 1 xx.xx.xx.xx:25 80.250.160.37:1665 LAST_ACK

потом добавил в /etc/host.deny этот зловредный айпишник

#
80.250.160.37
# End of hosts.deny.

и сдедал

/etc/rc.d/rc.inetd restart
, вроде прекратилась эта фигня

теперь несколько вопросов,

1. что это могло быть? с 10-55 до 11-20 таких сообщений об ошибках успело упасть 1661 штука

2. почему после добавления правил iptables этот айпишник не стал баниться айпитаблесом?

3. правельно ли я поступил с host.deny?

4. какие вообще должны быть действия в таких случаях?

★★★

*ужос*

1. неумелые хацкеры, проверка на прокси особенно групыми скриптами и т.п. 2. iptables не сработал, так как было разрешающее правило раньше. 3. inetd/host.deny и прочая работает только для тех сервисов, которые запускаются через inetd. afaik postfix к ним не относится. 4. игнорировать, если это не слишком нагружает машину.

Valmont ★★★
()
Ответ на: комментарий от Valmont

так вот именно игнорировать не получилось - постфихс из-за такого количества запросов только на них и работал

deys ★★★
() автор топика
Ответ на: комментарий от deys

сделай с помощью iptables

-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 20 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

uspen ★★★★★
()
Ответ на: комментарий от uspen

если я правельно понял, то мне такие правила iptables помогут избежать подобных атак в будущем?

deys ★★★
() автор топика
Ответ на: комментарий от deys

да, это блокировка новых соединений при достижении лимита новых соединений в период времени. В данном случае, если будут 5 новых соединений за 20 сек, то 6 и последующие будут блокироваться с записью в лог. Чтобы разблокировалось, надо выждать 20 сек.

Правила корректируй под свои нужды. это просто пример

uspen ★★★★★
()
Ответ на: комментарий от uspen

спасибо!! Похоже именно то, что нужно!!

deys ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.