smtp spam attcakce

Dieses Thema im Forum "Allgemein" wurde erstellt von Wh1sper, 18. Mai 2014.

  1. Wh1sper

    Wh1sper Member

    Guten Tag Forum,
    unser Server leidet momentan an einer smtp attacke.
    Will sagen, es kommen scheinbar von befallenen Rechnern aus dem asiatischen und südamerikanischen Raum tausende smtp connect rein.
    Es sieht so aus, als würde unser postfix als relay benutzt.
    Ich habe ein Zustell limit von 850 mails, welches stündlich zurückgesetzt wird und innerhalb von Minuten wieder auf 850 ansteigt.
    Meine erste Frage, hat das seit vorgestern noch jemand auf seinem Server?
    Ich habe die IP Ranges gesperrt, ich komme mit dem sperren einfach nicht nach, vielleicht sollte ich eine fail2ban regel dafür bauen.

    zweite Frage: interpretiere ich das Log richtig? Ein Beispiel (Aus der /tmp/smtpd-policy.log)
    siehe http://www.sturbi.de/blog/index.php/2012/07/26/limit-postfix-e-mails-pro-stunde/

    Code:
    request: ccert_fingerprint= sasl_method= sasl_sender= size=0 helo_name=PC-201401110251 reverse_client_name=unknown queue_id= encryption_cipher= encryption_protocol= etrn_domain= ccert_subject= request=smtpd_access_policy protocol_state=RCPT stress= sasl_username= recipient=rogj@rogj.com ccert_pubkey_fingerprint= instance=6cd8.53786dd0.4e9cc.0 protocol_name=ESMTP encryption_keysize=0 recipient_count=0 ccert_issuer= sender=geskoku@yahoo.com client_name=unknown client_address=212.247.140.71 action=DEFER to many mail
    
    Ich denke 212.247.140.71 ist hier der Ursprung.
    Wodurch bin ich hier als Server involviert?

    Ich verstehe es nicht.

    Ein lokales Problem, also etwas eingefangenes in den Joomla _Installationen kann ich glaube ich ausschließen.


    Ergänzung: Ausschnitt aus der mail.log.
    Code:
    May 18 11:03:17 rootgemeinschaft postfix/smtpd[4821]: NOQUEUE: reject: RCPT from unknown[109.194.20.27]: 450 4.7.1 <c23s34vj@yahoo.com.tw>: Recipient address rejected: to many mail; from=<myxzygy@yahoo.com> to=<c23s34vj@yahoo.com.tw> proto=ESMTP helo=<PC-201401110411>
    May 18 11:03:17 rootgemeinschaft postfix/smtpd[4821]: NOQUEUE: reject: RCPT from unknown[109.194.20.27]: 450 4.7.1 <c23ti357@yahoo.com.tw>: Recipient address rejected: to many mail; from=<myxzygy@yahoo.com> to=<c23ti357@yahoo.com.tw> proto=ESMTP helo=<PC-201401110411>
    May 18 11:03:17 rootgemeinschaft postfix/smtpd[5641]: NOQUEUE: reject: RCPT from unknown[177.154.72.19]: 450 4.7.1 <n0929420583@yahoo.com.tw>: Recipient address rejected: to many mail; from=<olcajps@yahoo.com> to=<n0929420583@yahoo.com.tw> proto=ESMTP helo=<PC-201401110247>
    May 18 11:03:17 rootgemeinschaft postfix/smtpd[5641]: NOQUEUE: reject: RCPT from unknown[177.154.72.19]: 450 4.7.1 <n0929426079@yahoo.com.tw>: Recipient address rejected: to many mail; from=<olcajps@yahoo.com> to=<n0929426079@yahoo.com.tw> proto=ESMTP helo=<PC-201401110247>
    
    
     
    Zuletzt bearbeitet: 18. Mai 2014
  2. Wh1sper

    Wh1sper Member

    Hat sich wohl erledigt,
    doch ein verseuchtes Web....
     

Diese Seite empfehlen