[opensuse-es] atacado por spammers
Hola a todos, tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers, a tal grado que no recibe correos de muchos dominios, y su conexion a internet, se satura tanto que por momentos es imposible navegar, me ha pedido que lo ayude, y yo recurro a ustedes, y la pregunta es. donde puedo mirar a ver si el dominio en cuestion, esta en alguna lista de dominios atacables o algo asi..? hice un test del DNS y me indica que no tiene reversa,, esto podria ser un causante de tamaño ataque..? tienen algunas otras ideas de lo que pueda estar sucediendo..? Saludos y Gracias JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-12-26 a las 19:56 -0500, Juan Carlos Bravo Celis escribió:
Hola a todos,
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers, a tal grado que no recibe correos de muchos dominios, y su conexion a internet, se satura tanto que por momentos es imposible navegar, me ha pedido que lo ayude, y yo recurro a ustedes, y la pregunta es.
donde puedo mirar a ver si el dominio en cuestion, esta en alguna lista de dominios atacables o algo asi..?
hice un test del DNS y me indica que no tiene reversa,, esto podria ser un causante de tamaño ataque..?
No.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
¿Que son, correos con destino a él, o correos con destino a otras direcciones externas? Si es lo segundo, que pare el servidor, y luego que estudie el problema. ¡PERO YA! - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHcvqDtTMYHG2NR9URAtb4AJ9TmSd3cXWO7gWnc0zTdXsu5rKf9gCZAWP9 aflJlvcsp+ApxenFRR7OEMA= =cW8w -----END PGP SIGNATURE-----
2007/12/27, Juan Carlos Bravo Celis:
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers,
¿Quieres decir que recibe mensajes "aparentemente válidas" que tiene que procesar y éso bloquea el servidor de correo?
a tal grado que no recibe correos de muchos dominios, y su conexion a internet, se satura tanto que por momentos es imposible navegar, me ha pedido que lo ayude, y yo recurro a ustedes, y la pregunta es.
¿Navegar? ¿Que le ocupa la mayor parte del ancho de banda? Creo que Postfix permite limitar esas cosas ¿qué servidor de correo tiene?
donde puedo mirar a ver si el dominio en cuestion, esta en alguna lista de dominios atacables o algo asi..?
Todos somos "atacables" :-) Seguramente se trata de una ráfaga de mensajes automatizados, nada dirigido de forma expresa. Es como la gripe, hay que pasarla de la mejor manera posible, aliviando los síntomas ;-) Para saber si está en una lista negra: http://www.robtex.com/ http://www.mxtoolbox.com/blacklists.aspx Pero en este caso no aplica. Tendrá que limitar los recursos desde el servidor de correo para no colapsar la conexión ni el servidor.
hice un test del DNS y me indica que no tiene reversa,, esto podria ser un causante de tamaño ataque..?
Como te dice Carlos, no, no tiene relación. Lo que pasa es que algunos servidores de correo no querrán "dialogar" con el tuyo si no tiene resolución inversa.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
¿De qué volumen de mensajes estamos hablando a la hora y de qué tipo de mensajes (bounces, spam...)? ¿Tienen alguna característica común, por ejemplo, salen del mismo rango de IP, o la IP de origen está en listas negras? Quizá puedas bloquear por algún lado... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 27/12/2007, Camaleón
2007/12/27, Juan Carlos Bravo Celis:
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers,
¿Quieres decir que recibe mensajes "aparentemente válidas" que tiene que procesar y éso bloquea el servidor de correo?
asi es, los mensajes segun me comentan, inicialmente estaban dirigidas a una sola cuenta, pero luego comenzaron a llegar a diferentes cuentas, que no existen, del tipo, algunnombre@dominiodemiamigo.com , pero que el servidor tiene que procesar.
a tal grado que no recibe correos de muchos dominios, y su conexion a internet, se satura tanto que por momentos es imposible navegar, me ha pedido que lo ayude, y yo recurro a ustedes, y la pregunta es.
¿Navegar? ¿Que le ocupa la mayor parte del ancho de banda? Creo que Postfix permite limitar esas cosas ¿qué servidor de correo tiene?
tiene un exchange, pero ahora estan dispuestos a cambiarlo por un postfix, pero sin saber la causa, cambiarlo inmediatamente no ayudaria nada.
donde puedo mirar a ver si el dominio en cuestion, esta en alguna lista de dominios atacables o algo asi..?
Todos somos "atacables" :-) Seguramente se trata de una ráfaga de mensajes automatizados, nada dirigido de forma expresa. Es como la gripe, hay que pasarla de la mejor manera posible, aliviando los síntomas ;-)
Para saber si está en una lista negra:
http://www.robtex.com/ http://www.mxtoolbox.com/blacklists.aspx
Pero en este caso no aplica. Tendrá que limitar los recursos desde el servidor de correo para no colapsar la conexión ni el servidor.
hice un test del DNS y me indica que no tiene reversa,, esto podria ser un causante de tamaño ataque..?
Como te dice Carlos, no, no tiene relación. Lo que pasa es que algunos servidores de correo no querrán "dialogar" con el tuyo si no tiene resolución inversa.
Entiendo.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
¿De qué volumen de mensajes estamos hablando a la hora y de qué tipo de mensajes (bounces, spam...)? ¿Tienen alguna característica común, por ejemplo, salen del mismo rango de IP, o la IP de origen está en listas negras? Quizá puedas bloquear por algún lado...
se trata de mas de un millon de conexiones por semana, y provienen de diferentes IP, y de diferentes paises, ya pusieron muchos equipos de seguridad, desde filtros smpt y otros, pero la cantidad de conexiones es tan alta que estos equipos tambien se caen. que otro tema se podria ver..? inicialmente le estoy proponiendo que apague todo, y que reestructure su red, poniendo una cosa a la vez, pero eso es bastante costoso. Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 27/12/07, Juan Carlos Bravo Celis escribió:
asi es, los mensajes segun me comentan, inicialmente estaban dirigidas a una sola cuenta, pero luego comenzaron a llegar a diferentes cuentas, que no existen, del tipo, algunnombre@dominiodemiamigo.com , pero que el servidor tiene que procesar.
Si la cuenta no existe, debe rechazarla... de lo contrario se va a encontrar en una situación de indefensión total. Antes (hace algunos años), no había problema en tener configurada una cuenta "master" a donde iban a parar los correos dirigidos a cuentas inexistentes. pero ahora, con la cantidad de spam que hay, esa opción no debe ya contemplarse: usuario que no existe, mensaje rechazado en la misma secuencia de diálogo entre los servidores.
tiene un exchange, pero ahora estan dispuestos a cambiarlo por un postfix, pero sin saber la causa, cambiarlo inmediatamente no ayudaria nada.
Causas, ninguna en particular. Todos lo hemos sufrido alguna vez... suelen ser rachas que se inician en un momento dado y paran a los días, sin más (estarán programados así, suelen ser equipos zombies a la espera de ser activados y preparados para un envío masivo de mensajes). Salvo, claro está, que sea un ataque dirigido y con el propósito concreto de tumbar los equipos. En este caso, pues si no hay forma de filtrar porque los mensajes son divergentes, con textos diferentes, rango de ip distinto, etc... sólo te queda o poner más servidores de correo para responder las peticiones y cubrir la demanda, limitar el número de conexiones en los servidores para evitar que se colapse Exchange, utilizar quality of service para una gestión más eficiente del tráfico del servidor de correo o dar prioridad a los mensajes legítimos, al menos a los que se generan desde tu red.
se trata de mas de un millon de conexiones por semana, y provienen de diferentes IP, y de diferentes paises, ya pusieron muchos equipos de seguridad, desde filtros smpt y otros, pero la cantidad de conexiones es tan alta que estos equipos tambien se caen.
que otro tema se podria ver..? inicialmente le estoy proponiendo que apague todo, y que reestructure su red, poniendo una cosa a la vez, pero eso es bastante costoso.
Lo más importante sería evitar desconectar los equipos, porque entonces dejas fuera de servicio a los clientes legítimos :-/. Limitar el número de conexiones del servidor, añadir otros equipos para aumentar la capacidad de carga, dar prioridad al tráfico del correo, balanceo de carga entre varios servidores... parámetros concretos del Exchange no conozco para controlar estas cosas, pero haberlos seguro que los hay. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Dec 27, 2007 11:40 AM, Juan Carlos Bravo Celis
On 27/12/2007, Camaleón
wrote: 2007/12/27, Juan Carlos Bravo Celis:
[...]
¿De qué volumen de mensajes estamos hablando a la hora y de qué tipo de mensajes (bounces, spam...)? ¿Tienen alguna característica común, por ejemplo, salen del mismo rango de IP, o la IP de origen está en listas negras? Quizá puedas bloquear por algún lado...
se trata de mas de un millon de conexiones por semana, y provienen de diferentes IP, y de diferentes paises, ya pusieron muchos equipos de seguridad, desde filtros smpt y otros, pero la cantidad de conexiones es tan alta que estos equipos tambien se caen.
mmmm.. pero no son mas que 1,65 conexciones por segundo !!!! mmmmm.. no encuentro del todo impresionante.. por acá, he visto servidores que tienen entre 4 y 6 conexciones por segundo y funciona del mas lindo !!!! en todo caso, postgrey es un santo remedio !!! por aca, se disminuyo entre 70% y 90% (dependiendo del cliente) las basuras que se recibía el MTA. revisalo.. puede ayudarte !!! salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Dec 27, 2007 11:40 AM, Juan Carlos Bravo Celis
On 27/12/2007, Camaleón
wrote: 2007/12/27, Juan Carlos Bravo Celis:
[...]
¿Navegar? ¿Que le ocupa la mayor parte del ancho de banda? Creo que Postfix permite limitar esas cosas ¿qué servidor de correo tiene?
tiene un exchange, pero ahora estan dispuestos a cambiarlo por un postfix, pero sin saber la causa, cambiarlo inmediatamente no ayudaria nada.
bueno.. se tienes un exchange.. el ideal seria que consultara a una persona que entienda de esto !!! suerte -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers,
¿Quieres decir que recibe mensajes "aparentemente válidas" que tiene que procesar y éso bloquea el servidor de correo?
asi es, los mensajes segun me comentan, inicialmente estaban dirigidas a una sola cuenta, pero luego comenzaron a llegar a diferentes cuentas, que no existen, del tipo, algunnombre@dominiodemiamigo.com , pero que el servidor tiene que procesar.
Que los rechaze, sin contemplaciones. Si la dirección no existe, fuera.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
¿De qué volumen de mensajes estamos hablando a la hora y de qué tipo de mensajes (bounces, spam...)? ¿Tienen alguna característica común, por ejemplo, salen del mismo rango de IP, o la IP de origen está en listas negras? Quizá puedas bloquear por algún lado...
se trata de mas de un millon de conexiones por semana, y provienen de diferentes IP, y de diferentes paises, ya pusieron muchos equipos de seguridad, desde filtros smpt y otros, pero la cantidad de conexiones es tan alta que estos equipos tambien se caen.
Eso no es gran cosa, 1.6 conexiones por segundo, pero es suficiente para tumbar un exchange :-p ¡Incluso yo manejo más velocidad con mi adsl de un mega en casa! ¿Son todos correos con destino al dominio de tu amigo? Un millon de correos con el TO de tu amigo? Caray. Ya son ganas de fastidiar. Pues que use cosas como greylisting, o postgrey como dice Victor. Pero tendrá que consultar a un experto en exchange. O empezar cambiando el servidor secundario a postfix, ver si recibe spam, y cambiarlo a primario.
que otro tema se podria ver..? inicialmente le estoy proponiendo que apague todo, y que reestructure su red, poniendo una cosa a la vez, pero eso es bastante costoso.
Puede poner una rama nueva de la red, sólo para correo, y en el momento adecuado, cambiar el DNS, quitando el antiguo servidor de correo del DNS. Con eso, sin quitar el antiguo, ya no recibirá correo legítimo. Si la cosa no va, puede volver a cambiar el DNS e invertir el cambio. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHdDFCtTMYHG2NR9URAh7PAKCDNWSBCyfsdAd3gOZ8cxwNtX5qpwCfVxwl rw3hRraT5ZbguOAMP/NhmQA= =LNmy -----END PGP SIGNATURE-----
On 27/12/2007, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Content-ID:
El 2007-12-27 a las 09:40 -0500, Juan Carlos Bravo Celis escribió:
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers,
¿Quieres decir que recibe mensajes "aparentemente válidas" que tiene que procesar y éso bloquea el servidor de correo?
asi es, los mensajes segun me comentan, inicialmente estaban dirigidas a una sola cuenta, pero luego comenzaron a llegar a diferentes cuentas, que no existen, del tipo, algunnombre@dominiodemiamigo.com , pero que el servidor tiene que procesar.
Que los rechaze, sin contemplaciones. Si la dirección no existe, fuera.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
se trata de mas de un millon de conexiones por semana, y provienen de diferentes IP, y de diferentes paises, ya pusieron muchos equipos de seguridad, desde filtros smpt y otros, pero la cantidad de conexiones es tan alta que estos equipos tambien se caen.
Eso no es gran cosa, 1.6 conexiones por segundo, pero es suficiente para tumbar un exchange :-p
corrijo, me comentan que es un aproximado de 1700 conexiones por segundo, ya se pusieron dos equipos libres de la proteccion del firewall a fin de que puedan tener algunos otros servicios, pues en caso contrario se cae todo.
¡Incluso yo manejo más velocidad con mi adsl de un mega en casa!
¿Son todos correos con destino al dominio de tu amigo? Un millon de correos con el TO de tu amigo? Caray. Ya son ganas de fastidiar.
es una organizacion contra delitos por drogas, y eso hace pensar de un ataque directo.
Pues que use cosas como greylisting, o postgrey como dice Victor. Pero tendrá que consultar a un experto en exchange. O empezar cambiando el servidor secundario a postfix, ver si recibe spam, y cambiarlo a primario.
una de las alternativas es poner varios postfix, a fin de liberar carga.
Puede poner una rama nueva de la red, sólo para correo, y en el momento adecuado, cambiar el DNS, quitando el antiguo servidor de correo del DNS. Con eso, sin quitar el antiguo, ya no recibirá correo legítimo. Si la cosa no va, puede volver a cambiar el DNS e invertir el cambio.
voy a sugerirle que tambien pruebe con esta opcion, ya estare contandoles, pues ya lleva algunas semanas con este problema, y cada dia empeora. Saludos JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-12-27 a las 20:02 -0500, Juan Carlos Bravo Celis escribió:
Eso no es gran cosa, 1.6 conexiones por segundo, pero es suficiente para tumbar un exchange :-p
corrijo, me comentan que es un aproximado de 1700 conexiones por segundo, ya se pusieron dos equipos libres de la proteccion del firewall a fin de que puedan tener algunos otros servicios, pues en caso contrario se cae todo.
Entonces estamos hablando de palabras mayores. :-|
¿Son todos correos con destino al dominio de tu amigo? Un millon de correos con el TO de tu amigo? Caray. Ya son ganas de fastidiar.
es una organizacion contra delitos por drogas, y eso hace pensar de un ataque directo.
Chico, pues entones el primer paso es contactar con las autoridades, y hacer estudios de la procedencia de los ataques. Se podrían hacer scripts que analizaran los intentos, y una vez sabido que tal intento viene de tal IP, pues se bloquea esa IP dinámicamente durante un tiempo. No pueden estar viniendo de millones de IPs, serán unas cuantas. Y atampoco pueden venir de una sóla máquina. Eso tiene apariencia de un ataque orientado y deben estudiarlo las autoridades. Que contacten también con su proveedor a alto nivel, ellos también pueden hacer cosas: si las IPs se identifican, se bloquean a los propios proveedores de los atacantes, hasta que cierren el servicio a las máquinss atacantes.
Pues que use cosas como greylisting, o postgrey como dice Victor. Pero tendrá que consultar a un experto en exchange. O empezar cambiando el servidor secundario a postfix, ver si recibe spam, y cambiarlo a primario.
una de las alternativas es poner varios postfix, a fin de liberar carga.
Si, pero ahí necesita ayuda seria, no la nuestra. Un gabinete especializado en seguridad.
Puede poner una rama nueva de la red, sólo para correo, y en el momento adecuado, cambiar el DNS, quitando el antiguo servidor de correo del DNS. Con eso, sin quitar el antiguo, ya no recibirá correo legítimo. Si la cosa no va, puede volver a cambiar el DNS e invertir el cambio.
voy a sugerirle que tambien pruebe con esta opcion, ya estare contandoles, pues ya lleva algunas semanas con este problema, y cada dia empeora.
No bastará. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHdFdztTMYHG2NR9URAnosAJ9iam+55JV76BGK/sQ66gdkvwLZ+gCffD1W vGZE3fPEcN1pzHVzJdEHlcw= =XFlN -----END PGP SIGNATURE-----
Chico, pues entones el primer paso es contactar con las autoridades, y hacer estudios de la procedencia de los ataques. Se podrían hacer scripts que analizaran los intentos, y una vez sabido que tal intento viene de tal IP, pues se bloquea esa IP dinámicamente durante un tiempo. No pueden estar viniendo de millones de IPs, serán unas cuantas. Y atampoco pueden venir de una sóla máquina. Eso tiene apariencia de un ataque orientado y deben estudiarlo las autoridades. Que contacten también con su proveedor a alto nivel, ellos también pueden hacer cosas: si las IPs se identifican, se bloquean a los propios proveedores de los atacantes, hasta que cierren el servicio a las máquinss atacantes.
Si contacta con la autoridad pertinente (por ejemplo, la Unidad de Delitos Telemáticos de la Guardia Civil - ¿está en España?), lo más normal es que 'precinten' el servidor. Esto significa que se lo llevarán para analizarlo, ver de donde vienen los ataques, etc etc. O sea, te quedarás sin el servidor y sin servicio. Tendrá tu amigo que montarse otro servicio para lo mismo, y seguirá sufriendo los mismos ataques. La web: https://www.gdt.guardiacivil.es/ Lo que le hacen a tu amigo es delito: https://www.gdt.guardiacivil.es/legislacion.php ya que interfiere con el funcionamiento de un sistema informático. Y otra cosa más a tener en cuenta: Tiene pinta de que a tu amigo le están haciendo un DDoS. Si es así, los responsables del ataque no estarán a la vista en ningún log del sistema. Ahí apareceran sólo las direcciones IP de los pardillos que tengan instalado el rootkit para utilizar su conexión a internet en ataques. Los que manejen esos pcs no son visibles. Y no te cuento nada si los malosos usan las facilidades de la RBN para lanzar los ataques... son casi imperseguibles, y menos desde españa. (y manda cojones que lo sean). Como te dijo Camaleón, se suele dejar que pase el temporal, capeandolo lo mejor posible. Para que te hagas una idea, incluso M$ desconectó un sitio web en previsión de un ataque DDoS que le iban a hacer. -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
Si contacta con la autoridad pertinente (por ejemplo, la Unidad de Delitos Telemáticos de la Guardia Civil - ¿está en España?),
Creo que no, por la zona horaria.
lo más normal es que 'precinten' el servidor. Esto significa que se lo llevarán para analizarlo, ver de donde vienen los ataques, etc etc. O sea, te quedarás sin el servidor y sin servicio.
¡Jo***! :-(
Y otra cosa más a tener en cuenta: Tiene pinta de que a tu amigo le están haciendo un DDoS. Si es así, los responsables del ataque no estarán a la vista en ningún log del sistema. Ahí apareceran sólo las direcciones IP de los pardillos que tengan instalado el rootkit para utilizar su conexión a internet en ataques. Los que manejen esos pcs no son visibles.
Pero si las IPs se repiten, se pueden bloquear. Un script que analice los rechazos y añada reglas iptables. ¿Existirá, no?
Y no te cuento nada si los malosos usan las facilidades de la RBN para lanzar los ataques... son casi imperseguibles, y menos desde españa. (y manda cojones que lo sean).
Si es lo que me figuro, según la wikipedia... The RBN has been described as "the baddest of the bad". It offers web hosting services and internet access to all kinds of criminal and immoral activities, with individual activities earning up to $150m in one year. Businesses that take active stands against such attacks are sometimes targeted by denial of service attacks originating in the RBN network.[2] RBN sells its services to these operations for $600 per month.[1] The business is difficult to trace. It is not a registered company, and its domains are registered to anonymous addresses. Its owners are known only by nicknames. It does not advertise, and trades only in untraceable electronic transactions.[2]
Como te dijo Camaleón, se suele dejar que pase el temporal, capeandolo lo mejor posible. Para que te hagas una idea, incluso M$ desconectó un sitio web en previsión de un ataque DDoS que le iban a hacer.
Lo recuerdo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHdPlQtTMYHG2NR9URAsj6AJ99NQtbpB0RIZ+nsZw+mbi7azFH8ACfewpE 28J7FTXPNNj1wJuNu5oCXD8= =MK3/ -----END PGP SIGNATURE-----
On Dec 27, 2007 10:02 PM, Juan Carlos Bravo Celis
On 27/12/2007, Carlos E. R.
wrote: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Content-ID:
El 2007-12-27 a las 09:40 -0500, Juan Carlos Bravo Celis escribió:
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers,
¿Quieres decir que recibe mensajes "aparentemente válidas" que tiene que procesar y éso bloquea el servidor de correo?
asi es, los mensajes segun me comentan, inicialmente estaban dirigidas a una sola cuenta, pero luego comenzaron a llegar a diferentes cuentas, que no existen, del tipo, algunnombre@dominiodemiamigo.com , pero que el servidor tiene que procesar.
Que los rechaze, sin contemplaciones. Si la dirección no existe, fuera.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
se trata de mas de un millon de conexiones por semana, y provienen de diferentes IP, y de diferentes paises, ya pusieron muchos equipos de seguridad, desde filtros smpt y otros, pero la cantidad de conexiones es tan alta que estos equipos tambien se caen.
Eso no es gran cosa, 1.6 conexiones por segundo, pero es suficiente para tumbar un exchange :-p
corrijo, me comentan que es un aproximado de 1700 conexiones por segundo, ya se pusieron dos equipos libres de la proteccion del firewall a fin de que puedan tener algunos otros servicios, pues en caso contrario se cae todo.
mmm..mmmm..mmmm se es cierto este numero... en menos de 40 segundos, tendria la maquina completamente congestionada !!! :-( no lo se... yo pensaria en aplicar una regla en el cortafuegos que limitara las conexciones de una misma IP a unas cuantas por segundo !!!! se es un ataque... el atacante ira necesitar de muchas mas maquinas diferentes para lograr que el ataque sea efectivo..
¡Incluso yo manejo más velocidad con mi adsl de un mega en casa!
¿Son todos correos con destino al dominio de tu amigo? Un millon de correos con el TO de tu amigo? Caray. Ya son ganas de fastidiar.
es una organizacion contra delitos por drogas, y eso hace pensar de un ataque directo.
Pues que use cosas como greylisting, o postgrey como dice Victor. Pero tendrá que consultar a un experto en exchange. O empezar cambiando el servidor secundario a postfix, ver si recibe spam, y cambiarlo a primario.
una de las alternativas es poner varios postfix, a fin de liberar carga.
mmmm..mmmm.. creo que no es la mejor soluccion !!! se pones varios postfix, el mas provable es que tendra mas trafico (exponencial al numero de instancias de postfix).. como he dicho en un correo anterior.. una buena configuracion deberia de ser suficiente para librarte del problema !!!!
Puede poner una rama nueva de la red, sólo para correo, y en el momento adecuado, cambiar el DNS, quitando el antiguo servidor de correo del DNS. Con eso, sin quitar el antiguo, ya no recibirá correo legítimo. Si la cosa no va, puede volver a cambiar el DNS e invertir el cambio.
voy a sugerirle que tambien pruebe con esta opcion, ya estare contandoles, pues ya lleva algunas semanas con este problema, y cada dia empeora.
el mejor que haces es recomendar a tu amigo a contratar un experto !!!! salu2 y suerte. -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-12-28 a las 09:38 -0300, Victor Hugo dos Santos escribió:
mmm..mmmm..mmmm se es cierto este numero... en menos de 40 segundos, tendria la maquina completamente congestionada !!! :-(
Pero creo que al postfix no lo tumba. Dejaría de acpetar conexiones, que se pueden limitar las simultaneas. En el FAQ lo dicen.
contandoles, pues ya lleva algunas semanas con este problema, y cada dia empeora.
el mejor que haces es recomendar a tu amigo a contratar un experto !!!!
Sí. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHdPfqtTMYHG2NR9URAmpTAJ9xZvOcicaht7tIeZFDgduR4VsFHwCeOsp7 q6InyRvRz3pjvYrpHmYOZu0= =FvTm -----END PGP SIGNATURE-----
On Dec 28, 2007 10:19 AM, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2007-12-28 a las 09:38 -0300, Victor Hugo dos Santos escribió:
mmm..mmmm..mmmm se es cierto este numero... en menos de 40 segundos, tendria la maquina completamente congestionada !!! :-(
Pero creo que al postfix no lo tumba. Dejaría de acpetar conexiones, que se pueden limitar las simultaneas.
no lo decia con referencia a postfix.. pero sin un limite de TCP, que es de 65535 conexciones maximas !!! supongamos que las 1700 conexciones que menciona nuestro colega, permanecen activas por un perido de 20 segundos, entonces serian necesarios unos 38,55 para llegar al limite de tcp !!! #En el FAQ lo dicen. http://www.postfix.org/TUNING_README.html#conn_limit salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-12-28 a las 11:27 -0300, Victor Hugo dos Santos escribió:
mmm..mmmm..mmmm se es cierto este numero... en menos de 40 segundos, tendria la maquina completamente congestionada !!! :-(
Pero creo que al postfix no lo tumba. Dejaría de acpetar conexiones, que se pueden limitar las simultaneas.
no lo decia con referencia a postfix.. pero sin un limite de TCP, que es de 65535 conexciones maximas !!!
Ah, vale, no me di cuenta.
supongamos que las 1700 conexciones que menciona nuestro colega, permanecen activas por un perido de 20 segundos, entonces serian necesarios unos 38,55 para llegar al limite de tcp !!!
A lo mejor hay un ajuste en el kernel para ajustar el número de conexiones. O el número de conexiones por IP: si las cortas antes de establecerse :-?
#En el FAQ lo dicen.
Ya, lo leí hace tiempo. Y está en local: /usr/share/doc/packages/postfix/html/TUNING_README.html Measures against clients that make too many connections Note: these features use the Postfix anvil(8) service, introduced with Postfix version 2.2. The Postfix smtpd(8) server can limit the number of simultaneous connections from the same SMTP client, as well as the connection rate and the rate of certain SMTP commands from the same client. These statistics are maintained by the anvil(8) server (translation: if anvil(8) breaks, then connection limits stop working). - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHdRgrtTMYHG2NR9URAmP2AJsFw1zTJn3ZrD1w/AMYOWNfXigV3wCeMTYc Ii1xqlt+c4VoyuCq6LZE7xk= =8LY1 -----END PGP SIGNATURE-----
On Dec 28, 2007 12:37 PM, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2007-12-28 a las 11:27 -0300, Victor Hugo dos Santos escribió:
mmm..mmmm..mmmm se es cierto este numero... en menos de 40 segundos, tendria la maquina completamente congestionada !!! :-(
Pero creo que al postfix no lo tumba. Dejaría de acpetar conexiones, que se pueden limitar las simultaneas.
no lo decia con referencia a postfix.. pero sin un limite de TCP, que es de 65535 conexciones maximas !!!
Ah, vale, no me di cuenta.
supongamos que las 1700 conexciones que menciona nuestro colega, permanecen activas por un perido de 20 segundos, entonces serian necesarios unos 38,55 para llegar al limite de tcp !!!
A lo mejor hay un ajuste en el kernel para ajustar el número de conexiones. O el número de conexiones por IP: si las cortas antes de establecerse :-?
mmm.. se puede ajustar algunos valores en el kernel para mejorar/optimizar: http://www.maconlinux.net/linux-man-pages/es/tcp.7.html http://tldp.org/HOWTO/TCP-Keepalive-HOWTO/usingkeepalive.html pero (al menos hasta donde llegan mis conocimientos) no se puede limitar un numero de conexciones por IP (al menos por kernel).. pero si, se puede con iptables + la opción/modulo --limit salu2 -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On 28/12/2007, Victor Hugo dos Santos
On Dec 28, 2007 12:37 PM, Carlos E. R.
wrote: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2007-12-28 a las 11:27 -0300, Victor Hugo dos Santos escribió:
mmm..mmmm..mmmm se es cierto este numero... en menos de 40 segundos, tendria la maquina completamente congestionada !!! :-(
Pero creo que al postfix no lo tumba. Dejaría de acpetar conexiones, que se pueden limitar las simultaneas.
no lo decia con referencia a postfix.. pero sin un limite de TCP, que es de 65535 conexciones maximas !!!
Ah, vale, no me di cuenta.
supongamos que las 1700 conexciones que menciona nuestro colega, permanecen activas por un perido de 20 segundos, entonces serian necesarios unos 38,55 para llegar al limite de tcp !!!
A lo mejor hay un ajuste en el kernel para ajustar el número de conexiones. O el número de conexiones por IP: si las cortas antes de establecerse :-?
mmm.. se puede ajustar algunos valores en el kernel para mejorar/optimizar:
http://www.maconlinux.net/linux-man-pages/es/tcp.7.html http://tldp.org/HOWTO/TCP-Keepalive-HOWTO/usingkeepalive.html
pero (al menos hasta donde llegan mis conocimientos) no se puede limitar un numero de conexciones por IP (al menos por kernel).. pero si, se puede con iptables + la opción/modulo --limit
Les voy comentando un poco el tema, ya estan involucrados en esto los ISP, y esto esta escalando a otros niveles, siempre es bueno contar con otras ideas, y la experiencia de muchas personas como son todos ustedes, es por eso que puse mi consulta, todavia no se ha logrado una solucion, pues se estan poniendo filtros muy especializados, que estan dando un mediano arreglo. Saludos y gracias, JCarlos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El vie, 28-12-2007 a las 12:23 -0500, Juan Carlos Bravo Celis escribió:
Les voy comentando un poco el tema, ya estan involucrados en esto los ISP, y esto esta escalando a otros niveles, siempre es bueno contar con otras ideas, y la experiencia de muchas personas como son todos ustedes, es por eso que puse mi consulta, todavia no se ha logrado una solucion, pues se estan poniendo filtros muy especializados, que estan dando un mediano arreglo.
Si lo que quieres son ideas, te doy una, quizas absurda, ya que esto de los servidores no es lo mio. Si realmente los mensajes proceden de un numero de IPs concretos, quizas podrias arreglar algo con una maquina rapida haciendo de router delante del servidor, que estuviese corriendo un programa especifico( no parece dificil) que leyese por un lado los correos rechazados y generase sentencias de iptables en base a esos datos. Un saludo Lluis
El Jueves, 27 de Diciembre de 2007, Juan Carlos Bravo Celis escribió:
Hola a todos,
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers, a tal grado que no recibe correos de muchos dominios, y su conexion a internet, se satura tanto que por momentos es imposible navegar, me ha pedido que lo ayude, y yo recurro a ustedes, y la pregunta es.
donde puedo mirar a ver si el dominio en cuestion, esta en alguna lista de dominios atacables o algo asi..?
* Puede probar a ver si es un relay abierto, buscar openrelay en google y elegir desde donde quiere probarlo.
hice un test del DNS y me indica que no tiene reversa,, esto podria ser un causante de tamaño ataque..?
* No, esta comprobacion la utilizaria otro receptor para "denegar" los envios de tu amigo si comprueba la existencia de resolucion inversa.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
* Maquinas infectadas seguramente con sistemas operativos iguales al que aloja su exchange estan siendo utilizados para spamear o conseguir denegacion de servicio y es lo primero que tiene que comprobar en si mismo, teniendo wilson, lo primero es comprobar que el spammer no es el o sus redes/maquinas y le estan rebotando, la lamentable practica de hacer relay para las maquinas internas, es sobre todo en una red wilson, una bomba de relojeria activada ...... * Si su servidor esta haciendo reject de los correos en vez de descartarlos esta agravando el problema (rechazando/enviando correos a remitentes inexistentes o falsificados y provocando que los administradores de esos dominios (inocentes) lo consideren a el un spammer y acabar de joderle. * lo que puede hacer de momento es denegar temporalmente dominios de primer nivel de donde provengan, tipicamente *.tw , añadir consultas rbl's, limpiar manualmente, los generalmente decenas de miles de correos, que siguen en la cola queue en proceso para evitar reintentos de entrega y/o devolucion, con esto los programas de envio masivo suelen detectarlo en un tiempo (no excesivamente alto) y pasan a siguientes victimas, y cuando pase la peste reconfigurar. * Si esto se produce frecuentemente (se conviente uno en victima habitual, no es una cosa frecuente, suelen ser ataques aleatorios), sera el momento de colocar aguas arriba de los servidores principales servidores solo relay que se encarguen de la autentificacion/descarte y pase los OK a los servidores principales para que los procesen, en cualquier caso al no existir por parte de la gestion autoritativa de los dominios una practica comun para impedir la falsificacion del origen (contribuir a la verificacion del origen legitimo/identificable ), estos ataques son inevitables, que tu amigo contribuya a ello añadiendo registros SPF para sus dominios.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Content-ID:
* Si su servidor esta haciendo reject de los correos en vez de descartarlos esta agravando el problema (rechazando/enviando correos a remitentes inexistentes o falsificados y provocando que los administradores de esos dominios (inocentes) lo consideren a el un spammer y acabar de joderle.
Supongo que te refieres a rechazar un correo una vez recibido entero, en cuyo caso se devuelve a la dirección del "from", que puede ser totalmente inocente. Pero rechazar el correo durante la negociación inicial le deja la patata caliente al servidor que está tratando de endosarte el spam, y se entiende que es lo correcto. He oído de gente que hace análisis de contenido en línea, en vez de en diferido como es habitual, no aceptando el correo si ve algo raro antes de terminar la recepción. No recuerdo quien dijo que usaba eso en la lista inglesa. Claro que eso será inviable en la situación que nos ocupa, de miles de correos por segundo.
* lo que puede hacer de momento es denegar temporalmente dominios de primer nivel de donde provengan, tipicamente *.tw , añadir consultas rbl's, limpiar manualmente, los generalmente decenas de miles de correos, que siguen en la cola queue en proceso para evitar reintentos de entrega y/o devolucion, con esto los programas de envio masivo suelen detectarlo en un tiempo (no excesivamente alto) y pasan a siguientes victimas, y cuando pase la peste reconfigurar.
¿Se podrían aplicar reglas para denegar por IP ciertas zonas geográficas, en el cortafuegos? O enrutarlos a diferentes servidores. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHdpa4tTMYHG2NR9URAvHjAJ4m3pmGszK/t8FykXutz9XQivJ90wCeM3wq ne/g0L1PNTtjoFb6O5ZwESE= =HLdP -----END PGP SIGNATURE-----
El Sábado, 29 de Diciembre de 2007, Carlos E. R. escribió:
Supongo que te refieres a rechazar un correo una vez recibido entero, en cuyo caso se devuelve a la dirección del "from", que puede ser totalmente inocente.
* Los ataques de spam, mejor de denegacion de servicio vial mail, son en la practica inevitables.
Pero rechazar el correo durante la negociación inicial le deja la patata caliente al servidor que está tratando de endosarte el spam, y se entiende que es lo correcto.
* En una situacion "normal" reject por uknow destination o chequeo de recipient account vale, pero ante un ataque yo los descarto al menos hasta que consiga de otras formas parar el golpe, ya que no evita proceso de forma relevante, el problema no suele ser "la maquina" salvo tcp, si no la cañeria y la politica de pegarse contra un spammer o una victima es perdida de tiempo, si es un spammper "legitimo" tiene mas medios que tu que yo y que novell juntos, mal asunto que se tome interes y si es un pringao o un gilipollas que acaba de leer una revista, puedes verte implicado con terceros de mala manera.
He oído de gente que hace análisis de contenido en línea, en vez de en diferido como es habitual, no aceptando el correo si ve algo raro antes de terminar la recepción. No recuerdo quien dijo que usaba eso en la lista inglesa. Claro que eso será inviable en la situación que nos ocupa, de miles de correos por segundo.
* Esta es la cuestion es un ataque, ergo se ha de tratar como ataque y lo mejor es hacerse el "orejas" y si no puedes pues a luchar, acometer el trafico con los relays y otras cosas, ajustar las ventanas tcp, etc para impedir que se desborde el logico escalado finito de la implementacion de la pila tcp/ip que use el sistema en cuestion, en estas situaciones NO es relevante la perdida de correo legitimo, se trata de que te dejen en paz cuanto antes.
¿Se podrían aplicar reglas para denegar por IP ciertas zonas geográficas, en el cortafuegos?
* Si -m geoip (geoip instalado/activado claro) usese DROP o lo que convenga, lease para permitir ssh solo desde españa, etc, es decir sentencias directas o contrarias. * Denegar todos excepto desde TW iptables -A INPUT -p tcp --dport 25 -m geoip ! --src-cc TW -j REJECT * Una para salida generica (todo el protocolo tcp) a taiwan * iptables -A OUTPUT -p tcp -m geoip --dst-cc TW -j REJECT
O enrutarlos a diferentes servidores
* Me imagino lo que quieres, pero me parece que lo que se puede (lo que yo se) no es lo que quieres o lo que imaginas y en este caso no ayuda es mas perjudica pones un "hombre en medio" legitimo a no ser que quieras es utilizar un fronted intermedio (pero esto es ni mas ni menos que los "solo relays" "aguas arriba"), como cuestion orientativa para no irnos por las ramas lee el apartado ip_forward a ip's publicas en /etc/sysconfig/SuSEfirewall2 esto hace un puente o abre una conexion directa (hace un reenvio de trafico), pero estas consumiendo conexion de el "reenviador", para lo que creo que quieres los tiros van por "el otro lado". * En cualquier caso dado el asunto, en cuanto pasemos una fina linea entramos en terrenos procelosos para segun que denegaciones y en que nivel de la pila se ha defender, y para lo que hagamos ante un ataque pueden ser mas efectivos los ficheros access y los tiempos de espera para recibir los comandos HELO/EHLO, mi experiencia es es estar preparado, esto significa tener preparados y listos para entrar en funcionamiento distintos metodos, para hacer frente a ataques esporadicos persistentes, sospecha de profesionales detras, etc, esto implica tener preparadas configuraciones, dns, los relays o proxis y los metodos de bloqueo y ponerlos en funcionamiento en minutos en funcion de la jugada, por que la realidad (que deberia ser de otra manera) es que esto por defecto en operacion normal por culpa de los contrarios (emisores legitimos, mal configurados, sin ciertos soportes, etc), y propias de redes extensas (aplicaciones que no soportan metodos de envio de cifrado/encapsulado, etc, etc,) es en la practica casi imposible de tener (repito en operacion normal) so pena de estarte partiendo la cara a diario con propios y extraños, lo que hago es aferrar al maximo lo que puedo y cuando llueve abrir los distintos paraguas.
participants (7)
-
Camaleón
-
Carlos E. R.
-
jose maria
-
Juan Carlos Bravo Celis
-
Lluis Martinez
-
miguel gmail
-
Victor Hugo dos Santos