[Просто интересуюсь]

Чтобы не пересекаться с соседней темой про DDoS-ы на http, решил открыть новую.

С сегодняшнего утра и по настоящее время на наши почтовые серверы производится ddos следующего типа: на несколько почтовых доменов @domain.ru, принадлежащих одному и тому же клиенту, с периодичностью несколько десятков писем в секунду валится почта на явно не существующие ящики. Выглядит это примерно так:

Jun  6 13:53:24 mail postfix/smtpd[18332]: NOQUEUE: reject: RCPT from unknown[212.248.116.79]: 550 5.1.1 <729748596.20060905171743@xxxx.ru>: Recipient address rejected: User unknown in virtual mailbox table; from=<sorostoodtownssulky@mail.com> to=<729748596.20060905171743@xxxx.ru> proto=ESMTP helo=<UMOS.access.comstar.ru>

При этом шаблон для ящиков один и тот же: несколько цифирь, точка и еще несколько цифирь.

 

Автоматикой, приделанной специально для этого дела, отловлен ботнет, который содержит уже более 3600 адресов. Список IP, обновляемый несколько раз в минуту: http://mail.netangels.ru/botnet.txt

Посмотрите, может кто знакомые сетки увидит ...

[Просто интересуюсь]

P.S. если вместо списка откроется пустая страница, просто понажимайте F5

[NightOperator]

P.S. если вместо списка откроется пустая страница, просто понажимайте F5

Там есть в частности внешние ip, закрепленные за Северо-Западным Телекомом (вида 89.110.*.*, 92.100.*.*, 78.36.*.*, 78.37.*.* - конкретные подсети смотреть сильно лень). Так вот они назначаются клиентам динамически - т.ч. их количество в вашем списке будет постоянно расти даже при не увеличении числа зараженных машин ;)

Наверняка там много и других аналогичных...

Изменено 6 июня, 2008 пользователем NightOperator

[Max P]

башку надо искать и закрывать нафиг

[bitbucket]

Управлятор видимо на 206.51.231.148 , трафик шифорваный, пока не расшифровал.

 

network:Class-Name:network

network:ID:NETBLK-HIVEL.206.51.231.0/24

network:Auth-Area:206.51.231.0/24

network:Network-Name:Ilya Shikhov-206.51.231.148

network:IP-Network:206.51.231.148/32

network:IP-Network-Block:206.51.231.148 - 206.51.231.148

network:Organization;I:IN-Telecom LTD

network:Street-Address:Dekabristov St 10-72

network:City:Perm

network:State:None

network:Postal-Code:614022

network:Country-Code:Russia

network:Tech-Contact;I:hostmaster@hivelocity.net

 

[bitbucket]

Продолжаем тему: заражение происходит этим : http://www.virustotal.com/analisis/1ce1b87...f9e8a3dbd595d15

(заметьте, ловит его только Avira), берут отсюда http://bestbsd.info/cd/cd.php?id=1-1C8BB##...A36&ver=ig5 ,

куда пришли отсюда http://rezultsd.info/cd/cd.php?id=1-1C8BB#...A36&ver=ig5 ,

так же управлялка видимо тут есть:

GET /rr/srr.php?ver=ha1 HTTP/1.1

User-Agent: clk_jdfhid

Host: contacy.info

Cache-Control: no-cache

 

HTTP/1.1 200 OK

Date: Fri, 06 Jun 2008 09:47:32 GMT

Server: Apache/1.3.37 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.7e-p1 PHP/4.4.7 FrontPage/5.0.2.2510

X-Powered-By: PHP/4.4.7

Transfer-Encoding: chunked

Content-Type: text/html

 

de

""""Q10iuuq;..cmnjonuhj/st.hoedy/qiq>`buhno<rd`sbi'lhrb<03968'rd`sbi^ptdsx<нОСРПСОЯОЛЛИХ*МИЯ*Ц*ЯРППКИТ*ПКАФКАТ"####P01

http://bloknotik.ru/index.php?action=searc...СЯЯЙХУ+ЯЙЮГЙЮУ#

0

 

это команда на флуд, урл там "http://bloknotik.ru/index.php?action=search&misc=12879&search_query=Потусторонний+мир+в+русских+сказках#" .

 

Мне так кажется, что схема такая: стоит бот, который делает проксю на компе. Трафик прокси шифруется, рассылка идет с 206.51.231.148 (блокируя этот адрес рассылка прекращается). А управляется все с 72.232.195.26 и 72.233.60.106 .

Изменено 6 июня, 2008 пользователем bitbucket

[st_re]

Да ладно, ддосят прямо... Просто ктото вумный собрал базу "миллион совершенно валидных проверенных емейлов" путем шерстения по дискам пользователей и выдирания всего, что похоже на емейл. Судя по всему это им попался message-id. Теперь другой вумный шлет по этой базе спам.

[Просто интересуюсь]

network:Organization;I:IN-Telecom LTD

network:Street-Address:Dekabristov St 10-72

network:City:Perm

Что-то уже не в первый раз вижу этот адрес и этого персонажа:

network:Network-Name:Ilya Shikhov

до Перми 400 км, может съездить и открутить ему голову ... :)

 

Кол-во отловленных адресов за сегодня уже перевалило за 4200, а в сумме за последние 3 дня более 40 тыс

 

Судя по всему это им попался message-id

Вот я никогда не понимал людей, которые считают себя умнее других. У меня тут несколько десятков тысяч попыток доставить письма на адреса такого типа, но Вам-то конечно виднее.

[st_re]

(заметьте, ловит его только Avira)

Всяким Касперским Вы его уже отослали?

 

 

[st_re]

Судя по всему это им попался message-id

Вот я никогда не понимал людей, которые считают себя умнее других. У меня тут несколько десятков тысяч попыток доставить письма на адреса такого типа, но Вам-то конечно виднее.

уу, Вы один и первый, кому "повезло". У меня логи хрянятся годами, я даже находил у себя те массаге ID на которые шлется.... Просто ради интереса. И под раздачу спама с фромом собранным из случайной стоки+@домен моего клиента тоже. На тысячи и тысячи получателей, с тысячами и тысячами проверками по грей листингу и отлупами. Клиент седевший на модеме (24*7) получивший все это на 25 порт остался без связи. Причем 25 порт там заблокировать мало помогало, соеденения перли и перли. Пришлось MX указать внекуда. Потом рассосалось. Давно это было.

 

Прошу заметить, Вам лично я сочувствую, но это просто бот, который шлет просто спам. 729748596.20060905171743 Письмо за 2006 год сентябрь 5 число. Если логи есть, Вы его найдете. Несколько десятков тысяч.... Вы столько за несколько лет не отправили писем (не Вы лично, а Ваш сервер в смысле)? Просто под собиралку емейлов попался ктото из Ваших (что там у Вас, организация, тогда сотрудник, провайдер - абонент) Ну или чьи-то логи разобрали же, собиралке - ей пофиг.

[Просто интересуюсь]

Письмо за 2006 год сентябрь 5 число. Если логи есть, Вы его найдете.

Конкретно этот клиент к нам пришел значительно позже указанной даты.

 

Просто под собиралку емейлов попался ктото из Ваших

абонент. Мы услуги хостинга предоставляем.

 

P.S. Вы хотите сказать что это не DDoS против сервера ? Интересно что кол-во доменов, на которые шлют почту, растет.

[bitbucket]

P.S. Вы хотите сказать что это не DDoS против сервера ? Интересно что кол-во доменов, на которые шлют почту, растет.

Скорее всего с адреса , что обслуживает ваш smtp, кто-то рассылочку сделал. Помогает извлечение тела письма (т.е. что боунсится вам) с рассылкой , и изучение телефонов. Там, как я понял какие-то путешествия предлагают, 2 мобильных телефона есть.

 

Что-то уже не в первый раз вижу этот адрес и этого персонажа:

network:Network-Name:Ilya Shikhov

Это крыша, абузоустойчивая. Он рассылку не делает, делают его клиенты.

[st_re]

Письмо за 2006 год сентябрь 5 число. Если логи есть, Вы его найдете.

Конкретно этот клиент к нам пришел значительно позже указанной даты.

Ну до Вас они тоже гдето жили наверное.

 

Просто под собиралку емейлов попался ктото из Ваших

абонент. Мы услуги хостинга предоставляем.

 

P.S. Вы хотите сказать что это не DDoS против сервера ? Интересно что кол-во доменов, на которые шлют почту, растет.

Если бы адрес получателя был бы более рандомный, то я бы так не говорил, но адрес получателя такого вида говорит о том, что ктото так хреново выполнил работу по сбору емейлов. Вы, если можете, включите прием всего, что сейчас отрубается на пару минут, и посмотрите в тело, что там идет.

У меня домен есть знакомый, на него спамеры давно, лет 10 назад, состряпали список <имя>@domen.ru где имя взято из словаря имен+все возможные варианты транслитерации. На момент сотряпывания там почта принималась вся, и все что неизвестно падало постмастеру. По первости постмастер охреневал. теперь давно такого уже нет. на все отдается 550. И так и шлют на эту тысячу или около того емейлов. Им всеравно что таких никогда небыло.

 

А так за прошедший год пришлось менять железо на почтовке на значительно более мощное. потоки спама просто ужасающе быстро растут. Количестов спама выросло за год на порядок. И объем его тоже имеет тенденцию к росту. Писмо на 200 К не редкость.

 

[Просто интересуюсь]

Скорее всего с адреса , что обслуживает ваш smtp, кто-то рассылочку сделал. Помогает извлечение тела письма (т.е. что боунсится вам) с рассылкой , и изучение телефонов. Там, как я понял какие-то путешествия предлагают, 2 мобильных телефона есть.

Хотелось бы уточнить о какой именно рассылке идет речь. Смотреть все bounce на 2000+ почтовых доменов не самое легкое занятие .... Вы можете подробности скинуть на info _ГАВ_ netangels.ru, если владеете таковыми ?

[bitbucket]

Хотелось бы уточнить о какой именно рассылке идет речь. Смотреть все bounce на 2000+ почтовых доменов не самое легкое занятие ....

А зачем все читать ? Вы же как-то список ip ботнета построили ? Значит отделить нижные боунсы можете: дальше дело техники - записать все боунсы за 1 час, даже tcpdumpом можно, дальше выделить интересные по ip адресам.

[Просто интересуюсь]

bitbucket, почему-то меня ускользает Ваша логика, толи потому что не выспался, толи даже не знаю.

Ну хорошо, допустим я отловлю что именно шлют, пойму формально кто именно это шлет, даже возможно получу адрес и телефон, что мне это даст ?

[st_re]

Да не отлупы это. отлупы с фром orostoodtownssulky@mail.com не ходят. Банальный спам. Тут или, если хватит возможностей, найти и удавить голову рассылальщика или писать в ООН жалобы... Ну или переждать. Если сильно мешает, увести домен на отдельный MX. Вообще снять MX.. (может не помочь, бывают посылальщики которые пользуют предподготовленные базы MX и спам годами ходит на давно несуществующие домены, тогда надо наоборот, всех уводить на новый IP, а эти нехай долбятся.)

 

Как вариант по своей таблице сделать правило и фильтровать вход от повторных попыток, но скорее всего не поможет, ботов в сети много и они каждый раз будут разные.

 

подвигать правила в постфиксе. Правило отшибающие такое сделать первым, чтобы не грузить сервер ненужными проверками. Если Вы абонентов ищете по базе, то проверьте что посик в базе оптимизируется по индексу (что он на самом деле использует индекс, а то там у меня был вариант, что индекс есть, а если в explain дать то условие то оказалось что его игнорируют), или регекс сделайте и поставьте его первым с reject. Чтобы снизить нагрузку.

 

 

[Beginner]

Нашел пару своих адресов. Ну и что толку? Адреса динамические, а времени в списке нет.

[bitbucket]

bitbucket, почему-то меня ускользает Ваша логика, толи потому что не выспался, толи даже не знаю.

Ну хорошо, допустим я отловлю что именно шлют, пойму формально кто именно это шлет, даже возможно получу адрес и телефон, что мне это даст ?

Это даст понятие: ddos это или банальная рассылка спама.

 

Так же это даст возможность найти сигнатуру в боунсах, и их просто reject_body сделать. Так хотя бы меньше будет загрузка почтовика.

[Уфаныч]

Посмотрел список IP, увидел знакомые...

90.150.*.* и 90.151.*.* - это PPPoE ADSL Уралсвязьинформа Екб.

официально список присутствует вроде тут... http://ekt.usi.ru/home/ek/internet/xdsl/servises/

давите их...

 

[st_re]

Вот, для примера

Jun  6 12:08:55 lg3 postfix/smtpd[11127]: NOQUEUE: reject: RCPT from unknown[89.169.181.134]: 450 4.1.1 <20070124082341.42909287fe@xxxxxx.xxxxxx.ru>: Recipient address rejected: undeliverable address: unknown user: "20070124082341.42909287fe"; from=<gullah@ramagencies.com.au> to=<20070124082341.42909287fe@xxxxxx.xxxxxx.ru> proto=ESMTP helo=<[89.169.181.134]>

 

Ну тут и тогда постфикс был, формат немного ругой у мессаге ИД, сответственно берем лог за 24 января 2007 года

 

$ egrep -iJ "42909287FE" /var/log/maillog.500.bz2
Jan 24 11:23:41 lg3 postfix/smtpd[76422]: 42909287FE: client=unknown[xx.xx.xx.xx], sasl_method=LOGIN, sasl_username=xxxxxxx
Jan 24 11:23:42 lg3 postfix/cleanup[9367]: 42909287FE: message-id=<20070124082341.42909287FE@xxxxxx.xxxxxx.ru>
Jan 24 11:23:42 lg3 postfix/qmgr[74638]: 42909287FE: from=<xxx@xxx.ru>, size=4216, nrcpt=1 (queue active)
Jan 24 11:23:43 lg3 postfix/smtp[10907]: 42909287FE: to=<yyyyyy@mail.ru>, relay=mxs.mail.ru[194.67.23.20]:25, delay=2.6, delays=1.6/0/0.17/0.77, dsn=2.0.0, status=sent (250 OK id=1H9dPz-000Erf-00)
Jan 24 11:23:43 lg3 postfix/qmgr[74638]: 42909287FE: removed

 

xxxxxx.xxxxxx.ru в обоих примерах совпадают....

 

[bitbucket]

Вот, для примера

Jun  6 12:08:55 lg3 postfix/smtpd[11127]: NOQUEUE: reject: RCPT from unknown[89.169.181.134]: 450 4.1.1 <20070124082341.42909287fe@xxxxxx.xxxxxx.ru>: Recipient address rejected: undeliverable address: unknown user: "20070124082341.42909287fe"; from=<gullah@ramagencies.com.au> to=<20070124082341.42909287fe@xxxxxx.xxxxxx.ru> proto=ESMTP helo=<[89.169.181.134]>

 

Ну тут и тогда постфикс был, формат немного ругой у мессаге ИД, сответственно берем лог за 24 января 2007 года

Тогда может быть против таких рассылок сделать хак, что бы на 'rcpt to: <email как msgid>' сразу 5хх и соединение закрывалось.

[st_re]

Так он и так закрываются.. Таких получателей нет по любому...

[bitbucket]

Так он и так закрываются.. Таких получателей нет по любому...

Это долго: проверить виртуальный домен, проверить юзера в домене... А тут сразу: 5хх и досвидос.