Просто интересуюсь Опубликовано 6 июня, 2008 · Жалоба Чтобы не пересекаться с соседней темой про DDoS-ы на http, решил открыть новую. С сегодняшнего утра и по настоящее время на наши почтовые серверы производится ddos следующего типа: на несколько почтовых доменов @domain.ru, принадлежащих одному и тому же клиенту, с периодичностью несколько десятков писем в секунду валится почта на явно не существующие ящики. Выглядит это примерно так: Jun 6 13:53:24 mail postfix/smtpd[18332]: NOQUEUE: reject: RCPT from unknown[212.248.116.79]: 550 5.1.1 <729748596.20060905171743@xxxx.ru>: Recipient address rejected: User unknown in virtual mailbox table; from=<sorostoodtownssulky@mail.com> to=<729748596.20060905171743@xxxx.ru> proto=ESMTP helo=<UMOS.access.comstar.ru> При этом шаблон для ящиков один и тот же: несколько цифирь, точка и еще несколько цифирь. Автоматикой, приделанной специально для этого дела, отловлен ботнет, который содержит уже более 3600 адресов. Список IP, обновляемый несколько раз в минуту: http://mail.netangels.ru/botnet.txt Посмотрите, может кто знакомые сетки увидит ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Просто интересуюсь Опубликовано 6 июня, 2008 · Жалоба P.S. если вместо списка откроется пустая страница, просто понажимайте F5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NightOperator Опубликовано 6 июня, 2008 (изменено) · Жалоба P.S. если вместо списка откроется пустая страница, просто понажимайте F5Там есть в частности внешние ip, закрепленные за Северо-Западным Телекомом (вида 89.110.*.*, 92.100.*.*, 78.36.*.*, 78.37.*.* - конкретные подсети смотреть сильно лень). Так вот они назначаются клиентам динамически - т.ч. их количество в вашем списке будет постоянно расти даже при не увеличении числа зараженных машин ;)Наверняка там много и других аналогичных... Изменено 6 июня, 2008 пользователем NightOperator Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Max P Опубликовано 6 июня, 2008 · Жалоба башку надо искать и закрывать нафиг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 6 июня, 2008 · Жалоба Управлятор видимо на 206.51.231.148 , трафик шифорваный, пока не расшифровал. network:Class-Name:network network:ID:NETBLK-HIVEL.206.51.231.0/24 network:Auth-Area:206.51.231.0/24 network:Network-Name:Ilya Shikhov-206.51.231.148 network:IP-Network:206.51.231.148/32 network:IP-Network-Block:206.51.231.148 - 206.51.231.148 network:Organization;I:IN-Telecom LTD network:Street-Address:Dekabristov St 10-72 network:City:Perm network:State:None network:Postal-Code:614022 network:Country-Code:Russia network:Tech-Contact;I:hostmaster@hivelocity.net Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 6 июня, 2008 (изменено) · Жалоба Продолжаем тему: заражение происходит этим : http://www.virustotal.com/analisis/1ce1b87...f9e8a3dbd595d15 (заметьте, ловит его только Avira), берут отсюда http://bestbsd.info/cd/cd.php?id=1-1C8BB##...A36&ver=ig5 , куда пришли отсюда http://rezultsd.info/cd/cd.php?id=1-1C8BB#...A36&ver=ig5 , так же управлялка видимо тут есть: GET /rr/srr.php?ver=ha1 HTTP/1.1 User-Agent: clk_jdfhid Host: contacy.info Cache-Control: no-cache HTTP/1.1 200 OK Date: Fri, 06 Jun 2008 09:47:32 GMT Server: Apache/1.3.37 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.7e-p1 PHP/4.4.7 FrontPage/5.0.2.2510 X-Powered-By: PHP/4.4.7 Transfer-Encoding: chunked Content-Type: text/html de """"Q10iuuq;..cmnjonuhj/st.hoedy/qiq>`buhno<rd`sbi'lhrb<03968'rd`sbi^ptdsx<нОСРПСОЯОЛЛИХ*МИЯ*Ц*ЯРППКИТ*ПКАФКАТ"####P01 http://bloknotik.ru/index.php?action=searc...СЯЯЙХУ+ЯЙЮГЙЮУ# 0 это команда на флуд, урл там "http://bloknotik.ru/index.php?action=search&misc=12879&search_query=Потусторонний+мир+в+русских+сказках#" . Мне так кажется, что схема такая: стоит бот, который делает проксю на компе. Трафик прокси шифруется, рассылка идет с 206.51.231.148 (блокируя этот адрес рассылка прекращается). А управляется все с 72.232.195.26 и 72.233.60.106 . Изменено 6 июня, 2008 пользователем bitbucket Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 июня, 2008 · Жалоба Да ладно, ддосят прямо... Просто ктото вумный собрал базу "миллион совершенно валидных проверенных емейлов" путем шерстения по дискам пользователей и выдирания всего, что похоже на емейл. Судя по всему это им попался message-id. Теперь другой вумный шлет по этой базе спам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Просто интересуюсь Опубликовано 6 июня, 2008 · Жалоба network:Organization;I:IN-Telecom LTDnetwork:Street-Address:Dekabristov St 10-72 network:City:Perm Что-то уже не в первый раз вижу этот адрес и этого персонажа:network:Network-Name:Ilya Shikhovдо Перми 400 км, может съездить и открутить ему голову ... :) Кол-во отловленных адресов за сегодня уже перевалило за 4200, а в сумме за последние 3 дня более 40 тыс Судя по всему это им попался message-idВот я никогда не понимал людей, которые считают себя умнее других. У меня тут несколько десятков тысяч попыток доставить письма на адреса такого типа, но Вам-то конечно виднее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 июня, 2008 · Жалоба (заметьте, ловит его только Avira) Всяким Касперским Вы его уже отослали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 июня, 2008 · Жалоба Судя по всему это им попался message-idВот я никогда не понимал людей, которые считают себя умнее других. У меня тут несколько десятков тысяч попыток доставить письма на адреса такого типа, но Вам-то конечно виднее. уу, Вы один и первый, кому "повезло". У меня логи хрянятся годами, я даже находил у себя те массаге ID на которые шлется.... Просто ради интереса. И под раздачу спама с фромом собранным из случайной стоки+@домен моего клиента тоже. На тысячи и тысячи получателей, с тысячами и тысячами проверками по грей листингу и отлупами. Клиент седевший на модеме (24*7) получивший все это на 25 порт остался без связи. Причем 25 порт там заблокировать мало помогало, соеденения перли и перли. Пришлось MX указать внекуда. Потом рассосалось. Давно это было. Прошу заметить, Вам лично я сочувствую, но это просто бот, который шлет просто спам. 729748596.20060905171743 Письмо за 2006 год сентябрь 5 число. Если логи есть, Вы его найдете. Несколько десятков тысяч.... Вы столько за несколько лет не отправили писем (не Вы лично, а Ваш сервер в смысле)? Просто под собиралку емейлов попался ктото из Ваших (что там у Вас, организация, тогда сотрудник, провайдер - абонент) Ну или чьи-то логи разобрали же, собиралке - ей пофиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Просто интересуюсь Опубликовано 6 июня, 2008 · Жалоба Письмо за 2006 год сентябрь 5 число. Если логи есть, Вы его найдете.Конкретно этот клиент к нам пришел значительно позже указанной даты. Просто под собиралку емейлов попался ктото из Вашихабонент. Мы услуги хостинга предоставляем. P.S. Вы хотите сказать что это не DDoS против сервера ? Интересно что кол-во доменов, на которые шлют почту, растет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 6 июня, 2008 · Жалоба P.S. Вы хотите сказать что это не DDoS против сервера ? Интересно что кол-во доменов, на которые шлют почту, растет.Скорее всего с адреса , что обслуживает ваш smtp, кто-то рассылочку сделал. Помогает извлечение тела письма (т.е. что боунсится вам) с рассылкой , и изучение телефонов. Там, как я понял какие-то путешествия предлагают, 2 мобильных телефона есть. Что-то уже не в первый раз вижу этот адрес и этого персонажа:network:Network-Name:Ilya Shikhov Это крыша, абузоустойчивая. Он рассылку не делает, делают его клиенты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 6 июня, 2008 · Жалоба Письмо за 2006 год сентябрь 5 число. Если логи есть, Вы его найдете.Конкретно этот клиент к нам пришел значительно позже указанной даты. Ну до Вас они тоже гдето жили наверное. Просто под собиралку емейлов попался ктото из Вашихабонент. Мы услуги хостинга предоставляем. P.S. Вы хотите сказать что это не DDoS против сервера ? Интересно что кол-во доменов, на которые шлют почту, растет. Если бы адрес получателя был бы более рандомный, то я бы так не говорил, но адрес получателя такого вида говорит о том, что ктото так хреново выполнил работу по сбору емейлов. Вы, если можете, включите прием всего, что сейчас отрубается на пару минут, и посмотрите в тело, что там идет. У меня домен есть знакомый, на него спамеры давно, лет 10 назад, состряпали список <имя>@domen.ru где имя взято из словаря имен+все возможные варианты транслитерации. На момент сотряпывания там почта принималась вся, и все что неизвестно падало постмастеру. По первости постмастер охреневал. теперь давно такого уже нет. на все отдается 550. И так и шлют на эту тысячу или около того емейлов. Им всеравно что таких никогда небыло. А так за прошедший год пришлось менять железо на почтовке на значительно более мощное. потоки спама просто ужасающе быстро растут. Количестов спама выросло за год на порядок. И объем его тоже имеет тенденцию к росту. Писмо на 200 К не редкость. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Просто интересуюсь Опубликовано 6 июня, 2008 · Жалоба Скорее всего с адреса , что обслуживает ваш smtp, кто-то рассылочку сделал. Помогает извлечение тела письма (т.е. что боунсится вам) с рассылкой , и изучение телефонов. Там, как я понял какие-то путешествия предлагают, 2 мобильных телефона есть. Хотелось бы уточнить о какой именно рассылке идет речь. Смотреть все bounce на 2000+ почтовых доменов не самое легкое занятие .... Вы можете подробности скинуть на info _ГАВ_ netangels.ru, если владеете таковыми ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 6 июня, 2008 · Жалоба Хотелось бы уточнить о какой именно рассылке идет речь. Смотреть все bounce на 2000+ почтовых доменов не самое легкое занятие .... А зачем все читать ? Вы же как-то список ip ботнета построили ? Значит отделить нижные боунсы можете: дальше дело техники - записать все боунсы за 1 час, даже tcpdumpом можно, дальше выделить интересные по ip адресам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Просто интересуюсь Опубликовано 7 июня, 2008 · Жалоба bitbucket, почему-то меня ускользает Ваша логика, толи потому что не выспался, толи даже не знаю. Ну хорошо, допустим я отловлю что именно шлют, пойму формально кто именно это шлет, даже возможно получу адрес и телефон, что мне это даст ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 7 июня, 2008 · Жалоба Да не отлупы это. отлупы с фром orostoodtownssulky@mail.com не ходят. Банальный спам. Тут или, если хватит возможностей, найти и удавить голову рассылальщика или писать в ООН жалобы... Ну или переждать. Если сильно мешает, увести домен на отдельный MX. Вообще снять MX.. (может не помочь, бывают посылальщики которые пользуют предподготовленные базы MX и спам годами ходит на давно несуществующие домены, тогда надо наоборот, всех уводить на новый IP, а эти нехай долбятся.) Как вариант по своей таблице сделать правило и фильтровать вход от повторных попыток, но скорее всего не поможет, ботов в сети много и они каждый раз будут разные. подвигать правила в постфиксе. Правило отшибающие такое сделать первым, чтобы не грузить сервер ненужными проверками. Если Вы абонентов ищете по базе, то проверьте что посик в базе оптимизируется по индексу (что он на самом деле использует индекс, а то там у меня был вариант, что индекс есть, а если в explain дать то условие то оказалось что его игнорируют), или регекс сделайте и поставьте его первым с reject. Чтобы снизить нагрузку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Beginner Опубликовано 7 июня, 2008 · Жалоба Нашел пару своих адресов. Ну и что толку? Адреса динамические, а времени в списке нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 8 июня, 2008 · Жалоба bitbucket, почему-то меня ускользает Ваша логика, толи потому что не выспался, толи даже не знаю.Ну хорошо, допустим я отловлю что именно шлют, пойму формально кто именно это шлет, даже возможно получу адрес и телефон, что мне это даст ? Это даст понятие: ddos это или банальная рассылка спама. Так же это даст возможность найти сигнатуру в боунсах, и их просто reject_body сделать. Так хотя бы меньше будет загрузка почтовика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Уфаныч Опубликовано 8 июня, 2008 · Жалоба Посмотрел список IP, увидел знакомые... 90.150.*.* и 90.151.*.* - это PPPoE ADSL Уралсвязьинформа Екб. официально список присутствует вроде тут... http://ekt.usi.ru/home/ek/internet/xdsl/servises/ давите их... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 9 июня, 2008 · Жалоба Вот, для примера Jun 6 12:08:55 lg3 postfix/smtpd[11127]: NOQUEUE: reject: RCPT from unknown[89.169.181.134]: 450 4.1.1 <20070124082341.42909287fe@xxxxxx.xxxxxx.ru>: Recipient address rejected: undeliverable address: unknown user: "20070124082341.42909287fe"; from=<gullah@ramagencies.com.au> to=<20070124082341.42909287fe@xxxxxx.xxxxxx.ru> proto=ESMTP helo=<[89.169.181.134]> Ну тут и тогда постфикс был, формат немного ругой у мессаге ИД, сответственно берем лог за 24 января 2007 года $ egrep -iJ "42909287FE" /var/log/maillog.500.bz2 Jan 24 11:23:41 lg3 postfix/smtpd[76422]: 42909287FE: client=unknown[xx.xx.xx.xx], sasl_method=LOGIN, sasl_username=xxxxxxx Jan 24 11:23:42 lg3 postfix/cleanup[9367]: 42909287FE: message-id=<20070124082341.42909287FE@xxxxxx.xxxxxx.ru> Jan 24 11:23:42 lg3 postfix/qmgr[74638]: 42909287FE: from=<xxx@xxx.ru>, size=4216, nrcpt=1 (queue active) Jan 24 11:23:43 lg3 postfix/smtp[10907]: 42909287FE: to=<yyyyyy@mail.ru>, relay=mxs.mail.ru[194.67.23.20]:25, delay=2.6, delays=1.6/0/0.17/0.77, dsn=2.0.0, status=sent (250 OK id=1H9dPz-000Erf-00) Jan 24 11:23:43 lg3 postfix/qmgr[74638]: 42909287FE: removed xxxxxx.xxxxxx.ru в обоих примерах совпадают.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 9 июня, 2008 · Жалоба Вот, для примера Jun 6 12:08:55 lg3 postfix/smtpd[11127]: NOQUEUE: reject: RCPT from unknown[89.169.181.134]: 450 4.1.1 <20070124082341.42909287fe@xxxxxx.xxxxxx.ru>: Recipient address rejected: undeliverable address: unknown user: "20070124082341.42909287fe"; from=<gullah@ramagencies.com.au> to=<20070124082341.42909287fe@xxxxxx.xxxxxx.ru> proto=ESMTP helo=<[89.169.181.134]> Ну тут и тогда постфикс был, формат немного ругой у мессаге ИД, сответственно берем лог за 24 января 2007 года Тогда может быть против таких рассылок сделать хак, что бы на 'rcpt to: <email как msgid>' сразу 5хх и соединение закрывалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 9 июня, 2008 · Жалоба Так он и так закрываются.. Таких получателей нет по любому... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 9 июня, 2008 · Жалоба Так он и так закрываются.. Таких получателей нет по любому... Это долго: проверить виртуальный домен, проверить юзера в домене... А тут сразу: 5хх и досвидос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...