xupetas
08-04-2008, 11:46
Vivam,
Na sequência do build up da Storm e agora o aparecimento da Kraken, achei que era altura de colocar aqui uma pequena nota de como se defenderem destas botnets.
No meu caso diminuiu o load por spam no servidor de 100 ligações concorrentes de smtpd para 10 ....
Ps: para quem não sabe o que é a Storm ou a Kraken ver isto (http://www.darkreading.com/document.asp?doc_id=150292&WT.svl=news1_1)
Para quem tem linux:
Instalem o fail2ban, com a seguinte alteração no ficheiro jail.conf que está em /etc/fail2ban:
[postfix-tcpwrapper]
enabled = true
filter = postfix
action = iptables[name=POSTFIX, port=smtp, protocol=tcp]
sendmail[name=Postfix, dest=spam@dominio.com]
logpath = /var/log/mail
bantime = 43200
maxretry = 2
E em seguida alterem o ficheiro postfix.conf que se encontra em /etc/fail2ban/filter.d:
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#
failregex = reject: RCPT from (.*)\[<HOST>\]: 450 4.1.1
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Notem que adicionei a expressão RCPT from com o erro de 450 (utilizador nao encontrado).
Isto irá fazer que mais que duas tentativas em menos de 30 segundos de entrega de e-mail a utilizadores não existentes irá fazer que o servidor que se encontre a enviar o spam fique silently banned por regra de iptables. Este ban durará 43200 segundos (segundo a minha configuração e é totalmente configurável.)
Isto está feito para postfix, mas é facilmente adaptável para qmail ou para sendmail ou wtv. O que tem que estar acessível é o ficheiro de logs do serviço de mail.
Para quem tem Windows:
Compre software que faça isto... ou então mude para Linux.
Na sequência do build up da Storm e agora o aparecimento da Kraken, achei que era altura de colocar aqui uma pequena nota de como se defenderem destas botnets.
No meu caso diminuiu o load por spam no servidor de 100 ligações concorrentes de smtpd para 10 ....
Ps: para quem não sabe o que é a Storm ou a Kraken ver isto (http://www.darkreading.com/document.asp?doc_id=150292&WT.svl=news1_1)
Para quem tem linux:
Instalem o fail2ban, com a seguinte alteração no ficheiro jail.conf que está em /etc/fail2ban:
[postfix-tcpwrapper]
enabled = true
filter = postfix
action = iptables[name=POSTFIX, port=smtp, protocol=tcp]
sendmail[name=Postfix, dest=spam@dominio.com]
logpath = /var/log/mail
bantime = 43200
maxretry = 2
E em seguida alterem o ficheiro postfix.conf que se encontra em /etc/fail2ban/filter.d:
# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 510 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>\S+)
# Values: TEXT
#
failregex = reject: RCPT from (.*)\[<HOST>\]: 450 4.1.1
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Notem que adicionei a expressão RCPT from com o erro de 450 (utilizador nao encontrado).
Isto irá fazer que mais que duas tentativas em menos de 30 segundos de entrega de e-mail a utilizadores não existentes irá fazer que o servidor que se encontre a enviar o spam fique silently banned por regra de iptables. Este ban durará 43200 segundos (segundo a minha configuração e é totalmente configurável.)
Isto está feito para postfix, mas é facilmente adaptável para qmail ou para sendmail ou wtv. O que tem que estar acessível é o ficheiro de logs do serviço de mail.
Para quem tem Windows:
Compre software que faça isto... ou então mude para Linux.