09/08/11 19:18:25 .net
メールアドレス辞書攻撃
10日分から大体IP枠が絞れた
078.187.000.0/19
078.187.032.0/20
078.187.048.0/21
080.040.000.0/13
089.248.119.0/24
115.080.000.0/14
190.002.032.0/19
190.042.187.0/25
190.081.005.0/25
200.067.227.0/24
200.071.160.0/20
201.040.000.0/15
201.236.128.0/18
207.044.128.0/17
220.130.195.0/24
結構多いなw
185:DNS未登録さん
09/08/11 20:45:56 .net
>>184
集計乙!
でも、/14 /18 とか入っていたら影響でかすぎで、使えないよぉ。
186:DNS未登録さん
09/08/12 02:27:06 .net
>>185 ブラジルとかなら殺しても良いかな防火壁に設定してみようっと
78.187って・・・
あぁ0~55なのか
187:DNS未登録さん
09/09/01 23:22:45 .net
どーも、先週頭くらいから新しい bot がはやっているみたいだね。
log を見ていると、greylistingを突破するロジック搭載ぽい。
今は、tarpitting、greylisting、log 監視して iptables の更新
をやっているけど・・・
新しいツールを考えないとだめだ。
何か良いアイデアない?
188:DNS未登録さん
09/09/02 07:35:39 .net
国単位でブロックしてる。
許可してる国でも逆引きできなかったら拒否。
spamしか投げてこないドメインはtarpittingで超待たせてる。
User Unknownを繰り返したら即ブロック。
(あくまで自宅の個人専用鯖の話だからね)
189:DNS未登録さん
09/09/02 23:06:28 .net
iptables の hashlimit で 75/min でかつ
smtpd_client_connection_rate_limit = 50/minに絞っていてもこの様ですよ。
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection rate 81/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max connection count 57 for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max message rate 50/60s for (smtp:207.44.254.106) at Sep 2 22:38:40
Sep 2 22:45:39 hoge postfix/anvil[23910]: statistics: max recipient rate 997/60s for (smtp:207.44.254.106) at Sep 2 22:39:40
190:DNS未登録さん
09/09/03 00:09:04 .net
同一IPからそんだけどばどば来てるってことなの?
191:DNS未登録さん
09/09/03 06:37:43 .net
>>190
そうだよ。
絞る前は、300 connection とかあった。
192:DNS未登録さん
09/09/03 13:37:28 .net
>>191 >184 207.044.128.0/17
ビンゴだねw
8月の頭からきてるってことだな
193:DNS未登録さん
09/09/04 14:37:26 .net
>>191
postfixだよね?だとすると同一IPからの接続ってデフォルトの設定だと50じゃない?
なんで300も接続許してるんだろう。
194:DNS未登録さん
09/09/04 19:46:05 .net
>>193
実験
どの程度張ってくるのか興味があったから、一時的に
設定変更して遊んでみた。
195:DNS未登録さん
09/09/23 10:22:14 .net
辞書攻撃の SPAM その後
Brute force attack攻撃的な現象が続いたので、
iptables hashlimit や、postfix の smtpd_client_connection_rate_limit などで
帯域を絞り攻撃が来なくなったなぁ・・・と思っていたら
同一ホストからは、5分に1通
様々なホストから、10秒に1通
Slow Scanning 的な手法が観測されました。
対策なんて無理だ!!
196:DNS未登録さん
09/09/23 21:51:53 .net
>>195 だから、上のIPリストみたいので元からはじくのがいいんじゃね?
メーラーじゃなく防火壁で殺せば良い
どうせチョンのスパマーだからそんなのISP単位でぶち殺しておっけじゃね
197:DNS未登録さん
09/09/23 23:33:21 .net
>>196
CK Filter やら国別 Filter は、知っているし家では、使っております。
仕事で管理している大きめの所では無理。
板違いなのは承知しています。
技術系の板で SPAM 対策のネタが書けるのが
ここくらいなので・・・ごめんなさい。
198:DNS未登録さん
09/09/24 01:51:00 .net
>>197 今回のスパムの傾向として
・同じIPでアドレス変えて打ってくる
から、そのロジックでmaillogからIPとアドレスだけ抜き出してIPでソートしてアドレスの変位でrejectフィルター更新するシェル組めばいいんじゃね?
199:DNS未登録さん
09/09/24 12:51:48 .net
>>198
アドバイスありがとう。
職場で log を追いながら相関関係を見ているのですが・・・
Source IP Address が一回しか使われていないケースも
結構あることが判りました。
また、RCPT 時点で Reject しているため MAIL FROM: <> であること以外、
log からは特徴がつかめません。
じゃあ、MAIL FROM: <> で抽出したら?って話になりますが、
RFC2505 で禁止されているので、これも出来ません。
しかも、攻撃中一度しか送信してきていない Host は
本当に多種で、国内某大手ISPやら某ホスティングなど
RejectやFilterしては駄目なHostも多数見られます。
最初は辞書攻撃に反応するロジックを考えれば良いと思ってましたが、
導入すると副作用の方がかなり高くなる可能性が高いので
根本的な解決は無理と結論付けました。
botnet 恐ろしや・・・
スレ汚し、ごめん。
200:DNS未登録さん
09/09/25 11:36:38 .net
>>199 一回だけのは今回の流れで言ってるSPAMメールと関係ないだろ?
おまえいったい何の話してるの?
まさかすべてのSPAMパターンを1種のロジックでなんとかしようなんて妄想してんの?
201:DNS未登録さん
09/09/25 16:58:00 .net
>>200
説明が悪かった・・・すまない。
IDS的に言うと、「Slow Scanning 」的な手法で
様々な Host から、ゆっくりと辞書攻撃を仕掛けてくる。
当初、複数回投げてくる Host の存在だけが目立っていたけれども
よくよく調査してみたら、Uniq Host の方が圧倒的に多かった。
だから、辞書攻撃に対する対策がこれ以上は難しい。
という意味なのですが・・・
なにか、防御機能として良い案ある?
202:DNS未登録さん
09/09/25 18:18:24 .net
>>201 パターン化できない限りパターン防御はできない
問題は、本当にそこにパターンは存在しないのか? という点だね
ヘッダ・本文・経路・ホスト・ISPなど 本当にランダムなのかな?
もしも上記のすべてが完璧なまでにランダムならソレは予防(アクティブ)は不可能
どうしてもパッシブなイタチごっこになるよね
良い案というかこっちは君の出す情報しかないんで本文もヘッダも何一つわからないからね
ウイルスソフトやスパムアサシンのフィルター機能や、ブラックリストチェック、MTAの各種フィルター
防火壁やISPのチェック機能、MTAを稼働するOS上での独自フィルター、これはすべて
・パターンチェック
でしかなく、未知の新手法には対応できない
辞書攻撃なら辞書の傾向あるような気もするし、無限にあるであろう中継サイトもパターンはあるような気もする
管理者である限り放棄はできない以上なんか考えなければアカンやろ
そうじゃないなら来たSPAMを二度と来ないように1メールずつ殺していくしかない それだけのことだ
203:DNS未登録さん
09/09/25 19:09:42 .net
>>202
アドバイスありがとう。
今のところ、上で書いた攻撃手段は1回しか
観測されていないという言い訳もあって、送信元のIPを
細かく分析しきれていません。
他の業務もあるので、少し後回しになるかもしれないけど
もう少し考えて見るよ。
204:DNS未登録さん
09/09/28 12:07:27 .net
MAIL FROM:<> ということは辞書攻撃とかじゃなくて、単純に backscatter でしょ。
BACKSCATTER_README を読んどけ。
これだけで防ぎきるのはムリだけど、だいぶ軽減できるはず。
205:DNS未登録さん
10/02/08 06:44:40 .net
スパマーを死刑にする法律が欲しいね。
206:DNS未登録さん
10/02/08 21:31:15 .net
死刑なんて緩いネ。
ネット接続遮断で十分。タイムアウト地獄で自爆してホスイ。
207:DNS未登録さん
10/03/31 14:18:42 .net
spamassasin使ってる人に質問
/usr/local/bin/spam-filter の
下記送信先に、spamメールが配送されますが、
それをどこにも送らないようにするにはどうすればいいでしょうか。
cat | $SPAMASSASSIN -x > in.$$
grep -e "^X-Spam-Status:.Yes" in.$$ \
&& $SENDMAIL "送信先" < in.$$ \
|| $SENDMAIL "$@" < in.$$
208:DNS未登録さん
10/04/20 10:33:17 .net
スレリンク(mysv板:207番)
スレリンク(mysv板:737番)
スレリンク(unix板:369番)
209:DNS未登録さん
10/05/26 17:42:38 .net
スパムアサシンとprocmail使って消してる。
/etc/procmailrcに以下の設定+個別対策してるわ。
当然、全部が全部はじけないけど、都度パターン見つけて追加してってる
:0 B
* ^ (2\..|3\..|4\..|5\..|6\..) URIBL_.._SURBL.*
/dev/null
:0 B
* .*http:/.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)/.*
/dev/null
:0 H
* ^Return-Path: .*@.*(\.pl|\.be|\.cz|\.my|\.za|\.nl|\.hr|\.in|\.cl|\.br|\.at|\.il)>.*
/dev/null
:0 H
* ^Subject: .*(Valiun|Viagra|Vicodin|Watche|Xanas|Levitra|Omega|Penis|Penns|Pharmacy|Phentermin|prescription|Propecia|Replica).*
/dev/null
:0 H
* ^Subject: .*(Rolex|Fake|Hydrocodone|Discount|Erections|Ambiem|Cialis|cheap |Codeine).*
/dev/null
:0
* ^Subject: .*\.jp .*
* ^Subject: .*(Alert|Order|News|Sale) .*
/dev/null
:0
* ^Subject: .*(degree|Sale.*..% off|Pills).*
/dev/null
210:DNS未登録さん
10/07/24 15:21:48 bRJf63A3.net
URLリンク(ameblo.jp)
こいつがハックしてるらしいよ。
211:DNS未登録さん
10/09/13 22:40:33 .net
びよよーん
212:DNS未登録さん
10/10/20 10:17:49 .net
グロ注意
213:DNS未登録さん
12/10/21 04:07:01.46 .net
メールサーバで受け取ったメールを一端gmailに送って、それをメールサーバで
受け取って各メールボックスに配送することはできますか?
214:NY
12/11/18 13:55:32.38 .net
i'm fine good work <a href=" URLリンク(urbania4.org) ">amitriptyline price uk</a> Present Patient Care Presentation
215:DNS未登録さん
12/11/22 22:03:22.70 .net
>>213
それ以外に特に制約条件が無いなら技術的には可能。
216:DNS未登録さん
14/01/24 13:50:20.90 wAkYRW9/.net
分かる方ご教示ください。
サーバがspamの踏み台にされたっぽいです。
CentOS5でpostfixとsasl2のSMTP認証使っています。
URLリンク(www.rbl.jp)
このサイトのチェックではno relays accepted.
と表示されるので安心していました。
nagiosでmailqの監視をやっていてアラートが上がったので、
見てみると不到達メールがたくさんありました。
clamd+amavisdでウィルス対策しています。
更に調べてみるとamavisのログに
Passed CLEAN {RelayedOpenRelay}, [接続してきたIP] <接続してきたメールアドレス>
こういうのがありました。
spamのあて先は50件すべて自ドメイン宛ではないです。
OpenRelayログ事態は以前からありました。
mynetworks =自分のネットワーク、localhost
と指定しているので、記述内アドレスからはオープンリレーと同じはずです。
それで気にしていませんでした。
接続してきたIPは未知のアドレスです。
何でチェックサイトでは拒否できて、postfixで拒否できなかったのか、
何でamavisがオープンリレーだと言っているのか、
分かる方是非教えてください。
217:DNS未登録さん
14/01/25 21:50:51.49 .net
SMTP認証のパスワード破られたんじゃないの?
218:DNS未登録さん
14/01/26 11:25:06.67 .net
>>217
どうもそうみたい。
どうやらsasl2の設定が悪そう。
salsdblisetusersで出てこないUNIXユーザが何故か認証されていた。
接続してきたホストは既にspamcop.netに登録されていたので、
しばらくは大丈夫だと思う。