[FUG-BR] RES: ataque na porta 25 do qmail

Grupo FUG FUG fug460 em gmail.com
Quarta Julho 15 10:59:42 BRT 2009


Pessoal,

Obrigado pelas respostas, eu ja rodo o spamd+pf  como falou o eduardo, mais
alguém teria um exemplo de como tratar isso por eles, ai posso colocar essa
regra no pf.conf

Obrigado,

Luís

2009/7/15 Eduardo Alvarenga <eduardo.alvarenga em gmail.com>

> Tem sim, via ports (se não me engano).
>
> No OpenBSD é nativo.
>
> 2009/7/15 Thiago Gomes <thiagomespb em gmail.com>
>
> > o freebsd nao tem não ?
> >
> > 2009/7/15 Eduardo Alvarenga <eduardo.alvarenga em gmail.com>:
> > > Eu colocaria um SPAMD+PF (OpenBSD) pra filtrar e fazer tarpit nisso.
> > >
> > >
> > > Abrçao,
> > >
> > > 2009/7/15 Renato Frederick <frederick em dahype.org>
> > >
> > >> Normal, estao tentando fazer um brute force para tentar enviar spam
> > usando
> > >> smtp autenticado, passei por isto a dias atrás.
> > >>
> > >> Você tem algum IPS? Se tiver, pode limitar o número de conexões á
> porta
> > 25
> > >> por segundo. Se não tiver, aí vai ter que fazer manualmente um
> bloqueio
> > dos
> > >> IP's que estão tentando conexão.
> > >>
> > >>
> > >>
> > >> > -----Mensagem original-----
> > >> > De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br]
> Em
> > >> > nome de Grupo FUG FUG
> > >> > Enviada em: quarta-feira, 15 de julho de 2009 09:54
> > >> > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> > >> > Assunto: [FUG-BR] ataque na porta 25 do qmail
> > >> >
> > >> > Bom dia lista,
> > >> >
> > >> > Não sei se alguém esta passando o mesmo problema que eu aqui,
> estamos
> > >> > tendo
> > >> > uma acesso axaustivo na porta 25 por diversos IPs a um usuário que
> nem
> > >> > esta
> > >> > cadastrado no servidor de e-mail, com isso a porta 25 fica
> > >> > congestionada.
> > >> > Segue um log.
> > >> >
> > >> > Jul 15 09:40:29 mail vpopmail[1084]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.187.21.152
> > >> > Jul 15 09:40:36 mail vpopmail[1089]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:189.18.200.12
> > >> > Jul 15 09:40:37 mail vpopmail[1090]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.187.21.152
> > >> > Jul 15 09:40:42 mail vpopmail[1108]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:189.18.200.12
> > >> > Jul 15 09:40:47 mail vpopmail[1112]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:189.18.200.12
> > >> > Jul 15 09:40:49 mail vpopmail[1116]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.49.47.164
> > >> > Jul 15 09:40:56 mail vpopmail[1179]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.134.36.113
> > >> > Jul 15 09:41:33 mail vpopmail[1559]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:94.90.112.208
> > >> > Jul 15 09:42:27 mail vpopmail[1653]: vchkpw-smtp: vpopmail user not
> > >> > found
> > >> > sar em XXXX.com.br:190.226.45.210
> > >> >
> > >> >
> > >> > E vem de inumeros Ips diferentes, podem ver que o sar em xxxx.com.br é
> o
> > >> > usuário que esses IPs estão tentando usar para enviar e-mails, mais
> > >> > mesmo
> > >> > sem sucesso as tentativas estão congestionando a porta 25 e não
> > >> > deixando
> > >> > quem realmente precisa enviar os e-mails
> > >> > Alguém ja passou por isso e poderia indicar uma forma de se proteger
> > >> > desse
> > >> > "ataque"
> > >> >
> > >> > Obrigado,
> > >> >
> > >> > Luís
> > >> > -------------------------
> > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >> -------------------------
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>
> > >
> > >
> > >
> > > --
> > > Eduardo Alvarenga
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
> --
>  Eduardo Alvarenga
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd