LINUX.ORG.RU

Борьба с ботнетами на почтовиках

 , , ,


1

1

Решил тряхнуть стариной и разместить картиночку =). Процесс доработки (одной из частей) эдакого распределенного файрвола для почтовой системы. Справа в редакторе код, слева консоли на серверах где этот код запущен.

Железка ноут HP, Debian 11 и Cinnamon. Редактор самописанный на Tcl/Tk.

>>> Просмотр (2002x1079, 612 Kb)



Проверено: hobbit ()

Серое, приятное.

P.S. «was not exists» (и остальное) делать мне больно.

dsdqmhsx
()

Не удобно/обычно что строковые литералы отдельно не подсвечиваются.

urxvt ★★★★★
()

Зачем вообще иметь свою почтовую систему, если вы не компания mail.ru? Они вкладывают миллиарды в борьбу со спамом. Никогда так хорошо не получится на локальном сервере, время только зря будете тратить на поддержку.

Shushundr ★★★★
()

Логика работы решения непонятна, чем оно лучше банального rspamd - тоже не ясно. Тогда зачем?

DummyBoy ★★
()
Ответ на: комментарий от x22

Одна часть анализирует логи почтовой системы в ElasticSearch, попадающие туда разными путями =) со всех почтовых узлов, и выдергивает разные аномалии (множественные попытки авторизации, авторизации в один аккаунт с разных адресов, с одного адреса в разные аккаунты, с адресов неразрешенных по GeoIP и т.д.) и складывает в БД. Агенты на узлах, которые торчат в интернет, берут данные из БД и по заданным критериям блочат нежелательные адреса через iptables. О чём делают запись в БД, дабы исключить потворные блокировки. Собственно лог работы агентов на картинке:

  • Проверяет наличие новых записей для данного узла
  • Проверяет тип аномалии
  • Проверяет не входит-ли блокируемый IP в исключения
  • Блокирует если надо.

Комбайн жуткий, эдакое подобие fail2ban, но попроще и распределенный. Ботнеты нынче хитрые, атаки распределены как географически так и по времени - больше одного раза в один аккаунт не лезут (могут через неделю повторить а то и дольше) и определить нормальный это юзер или жулик стало трудно. Потому и запилил эдакое чудовище. Но по результатам эксплуатации получилось действенно.

svk28
() автор топика
Последнее исправление: svk28 (всего исправлений: 1)
Ответ на: комментарий от her_s_gory

Тут https://git.nuk-svk.ru/svk/projman От скуки решил с нуля переписать свою поделку 20-ти летней давности =). Так что, предупреждаю сразу - он еще сырой и своеобразный. Зато есть поддержка ansible (навигация по плэйбуку, поиск определения переменных во всем проекте, и т.д. :-Ь )

svk28
() автор топика
Ответ на: комментарий от DumLemming

Ну не знаю, мне понравился. Со странностями он, конечно, но получше питона (на мой взгляд, и для моих задач), да и тема холиварная, так что воздержусь от оценок.

svk28
() автор топика
Последнее исправление: svk28 (всего исправлений: 1)
Ответ на: комментарий от Shushundr

Зачем вообще иметь свою почтовую систему

А зачем вообще иметь что-то своё, когда всегда можно попросить у дяди попользоваться?

ugoday ★★★★★
()
Ответ на: комментарий от Shushundr

Зачем вообще иметь свою почтовую систему, если вы не компания mail.ru?

«Зачем учить географию, если извозчик довезёт куда пожелаете» (c) Митрофанушка Обломов.

Attila ★★
()
Последнее исправление: Attila (всего исправлений: 1)
Ответ на: комментарий от Attila

Во-первых, не Обломов, а Простаков, а во-вторых, это не сам Митрофанушка, а его мамаша. Сам Митрофанушка — скорее, жертва маменькиного воспитания.

hobbit ★★★★★
()

что за тема?

ip лучше не ковырять каждый раз из бд а засунуть в мапу - намного быстрее. если надо распределенность то можно в кластер редис

fardok
()
Ответ на: комментарий от fardok

Тема: рамки BlackMate, Стиль окон - AdvaitaDark, рабочий стол - cinnamon (тема такая)

Так IP каждый раз добавляется в БД, или речь про фильтр? так там тоже динамически обновляется. Или я чего-то не понял. Да и скорость тут не главное.

svk28
() автор топика
Последнее исправление: svk28 (всего исправлений: 1)
Ответ на: комментарий от Entmatix

«Does not exists» и «was created» почему-то смешалось, при копипасте видать не заметил или в порыве неистового быдлокодирования, бывает =).

svk28
() автор топика
Ответ на: комментарий от hobbit

Во-первых, не Обломов, а Простаков, а во-вторых, это не сам Митрофанушка, а его мамаша.

Рад! Искренне рад!
Я-то по-глупизне, своей молодой, 40 лет назад, «не читал, но осуждаю». Оценки по литературе получал на троечку :) Не! Ну чо!?

Attila ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.