Welcome, Guest. Please login or register.
Did you miss your activation email?

Author Topic: [DE] Umgang mit Logspammern  (Read 3559 times)

Offline T-ampfer

  • User
  • Posts: 35
[DE] Umgang mit Logspammern
« on: 2017/09/14, 04:25:50 »
Hallo,

mich würde interessieren wie ihr mit Logspammern umgeht. Kickt ihr die oder lasst ihr sie mit einem müden Lächeln gewähren?

Ich hatte gestern ein Botnetz mit etwa 100 Bots am Schleppseil die sich via sasl authentifizieren wollten.

Code: [Select]
Sep 14 21:55:10 localhorst postfix/smtpd[9278]: warning: unknown[37.189.xxx.xxx]: SASL LOGIN authentication failed:
Die Bots kamen im Abstand von 2 1/2 bis 3 1/2 Minuten, nicht alle auf einmal, sondern schön verteilt.

Bevor ich ins Bett gegangen bin habe ich ihnen noch den gar aus gemacht. Schließlich verbraucht das Speicherplatz in den Logdateien. :)

Wie geht ihr damit um?

Grüße
T-ampfer

PS:
f2b ist bei mir deutlich konservativer eingestellt als das es hätte greifen können.
« Last Edit: 2017/09/14, 04:37:59 by T-ampfer »

Offline cryptosteve

  • User
  • Posts: 675
Re: Umgang mit Logspammern
« Reply #1 on: 2017/09/14, 15:55:15 »
Moin,

da kann man nur müde lächeln. Wenn die Kiste vernünftig konfiguriert ist (und das sollte sie speziell im Fall von Mail sein), dann ist das gar kein Problem. Und es gibt auch kein wirklich probates Mittel dagegen, es sei denn, Du befindest Dich in einer stark begrenzten Umgebung, bei der immer nur die gleichen Hosts kommen.

Aber sobald die Maschine im großen weiten Netz hängt, .... ist eben so.
- born to create drama -
CS Virtual Travel Bug: VF6G5D

Offline T-ampfer

  • User
  • Posts: 35
Re: Umgang mit Logspammern
« Reply #2 on: 2017/09/14, 20:29:41 »
Ja, die Passwörter sind sicher und werden von Usern bestimmt nicht weitergegeben, es handelt sich schließlich um die PIN ihrer EC-Karten.  ;D ;D ;D ;D

Offline cryptosteve

  • User
  • Posts: 675
Re: Umgang mit Logspammern
« Reply #3 on: 2017/09/14, 20:41:45 »
Ich meine auch nicht solche Sachen wie Passwörter, etc., sondern eher die Konfiguration des Mailservers an sich (Stichwort: Open Relay, smtpd_recipient_restrictions, smtpd_client_restrictions, etc.

Wenn die Passwörter kompromittiert sind, ist es a) eh zu spät und b) in den Logfiles nicht vernünftig erkennbar.
- born to create drama -
CS Virtual Travel Bug: VF6G5D

Offline T-ampfer

  • User
  • Posts: 35
Re: Umgang mit Logspammern
« Reply #4 on: 2017/09/16, 15:58:09 »
Natürlich, dass sind ja auch basics, da bin ich voll bei dir. :)

Offline T-ampfer

  • User
  • Posts: 35
Re: Umgang mit Logspammern
« Reply #5 on: 2017/09/19, 21:20:25 »
Und es gibt auch kein wirklich probates Mittel dagegen

Ich dachte eigentlich auch so, bisher....
Durch eine tiefere Analyse von mehreren Servern bin ich darauf gestoßen das es wohl tatsächlich nur ein Botnet ist das bei mir Logspamm und realen Spam betreibt.

Ich habe jedenfalls ein wenig gescriptet und 4 Server "zusammen geschaltet", sie tauschen nun alle Hosts aus die obige Meldung uä. bringen und sperren sie permanent.

Der Erfolg ist überwältigend! Die Produktivserver werden entsprechend mit dieser Liste gefüttert. Die rbl-rejects liegen jetzt bei max. 3/Tag und Server(vorher ~50) und dass Spamvolumen ist von 20% auf 4% gesunken. Ich hoffe es bleibt so.  ;)

Die Liste selber enthält noch keine 200 Einträge. Was mich aber am meisten gewundert hat; es sind relativ wenige dynamische Adressen die mit geblockt wurden. Die meisten dynamischen stammen aus Italien und sind (laut nmap) XP Systeme.

Ich werde auf jeden Fall Empfehlen noch zwei oder drei 2€-V-Server zu Mieten und diese als Honeypot zu missbrauchen.

Mein persönliches Fazit:
Die Vogel-Strauß-Taktik schadet mehr als sie nutzt.

Edit:
Ich liebe Statistiken. :)
Wußtest ihr das eine ipv4 Adresse im Durchschnit 14,2 Zeichen enthält.  8)
(Zumindest bei meinen ~200 gesammelten)
« Last Edit: 2017/09/19, 21:28:15 by T-ampfer »