[FUG-BR] ataque na porta 25 do qmail

Wesley Miranda lista em freebsdconsult.com.br
Segunda Agosto 3 14:52:24 BRT 2009


Luis,

Segue a referência http://www.openbsd.org/faq/pf/pt/filter.html#stateopts

Wesley Miranda
FreeBSD Consult
www.freebsdconsult.com.br
----- Original Message ----- 
From: "Grupo FUG FUG" <fug460 em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Monday, August 03, 2009 9:28 AM
Subject: Re: [FUG-BR] ataque na porta 25 do qmail


Olá Wesley

Vi que você passou essa regra e estava estudando ela para poder implantar e
fiquei com uma dúvida


table <smtp> persist
block in quick from <smtp>

pass in on $ext_if proto tcp to $web_server \
   port www flags S/SA keep state \
   (max-src-conn 10, max-src-conn-rate 5/5, overload <smtp> flush)

Onde temos $ext_inf e $web_server eu coloco a interfece referente ao ip do
meu servidor para os dois ou é diferente disso.

Obrigado,

Luís


2009/7/17 Wesley Miranda <lista em freebsdconsult.com.br>

> Caso utilize ipfw ou PF limita a porta 25 a quantidade de ips por exemplo:
> PF
>
> table <smtp> persist
> block in quick from <smtp>
>
> pass in on $ext_if proto tcp to $web_server \
>    port www flags S/SA keep state \
>    (max-src-conn 10, max-src-conn-rate 5/5, overload <smtp> flush)
>
> Seria uma das soluções.
> Abraço
>
> Wesley Miranda
> FreeBSD Consult
> www.freebsdconsult.com.br
>  ----- Original Message -----
> From: "Grupo FUG FUG" <fug460 em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd em fug.com.br>
> Sent: Wednesday, July 15, 2009 9:54 AM
> Subject: [FUG-BR] ataque na porta 25 do qmail
>
>
> Bom dia lista,
>
> Não sei se alguém esta passando o mesmo problema que eu aqui, estamos 
> tendo
> uma acesso axaustivo na porta 25 por diversos IPs a um usuário que nem 
> esta
> cadastrado no servidor de e-mail, com isso a porta 25 fica congestionada.
> Segue um log.
>
> Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.187.21.152
> Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.187.21.152
> Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:189.18.200.12
> Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.49.47.164
> Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.134.36.113
> Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:94.90.112.208
> Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not found
> sar em XXXX.com.br:190.226.45.210
>
>
> E vem de inumeros Ips diferentes, podem ver que o sar em xxxx.com.br é o
> usuário que esses IPs estão tentando usar para enviar e-mails, mais mesmo
> sem sucesso as tentativas estão congestionando a porta 25 e não deixando
> quem realmente precisa enviar os e-mails
> Alguém ja passou por isso e poderia indicar uma forma de se proteger desse
> "ataque"
>
> Obrigado,
>
> Luís
>  -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd 



Mais detalhes sobre a lista de discussão freebsd