a mi pareció una sonsa dela OSRI, no obstante, también puede ser una
OSRI de otro sistema detección de relays abierto, ya sea maligno o
benigno.
Una vez, una gente de Garabato Group me pidió hacerles un bot para
detectar relays abiertos y sus características requeridas eran un
tanto agresivos, dejando al servidor "escaneado" es una situación
similar a la tuya. Me exigieron que el programa debería probar más de
5 veces hacer relay con varios destino y orígenes diferentes (no se
porque). Además, no querían almacenar los servidor ya escaneados, por
lo cual repiten el ataque ferozmente una y otra vez; da la impresion
de que es un DoS.
Si estas en un caso como ese debes mitigar el ataque (ATAQUE porque es
no es una "prueba") con fail2ban.
En el caso de smtprobe.rb (el bot del que hablo) tocaba a 48 horas
rotar por la lista de todos los dominios que tenían, por tanto,
baneando 72 horas, caerías en el "gap" restante:
ya que cuando te toque a ti nuevamente, estarías en la lista de espera
;)
Por su puesto, si esta lista creciese, el tiempo de los gaps fluctua.
Verifica la frecuencia con la que esa ip se repite, y dicha frecuencia
sería el tiempo de baneo requerido para defenderte de manera
apropiada.
happy hacking
Thread name: "Re: [Gutl-l] DoS o Relay, que me aconsejan"
Mail number: 7
Date: Thu, Feb 12, 2015
In reply to: Damián Tomey Soto
>
> Lázaro por qué dices eso?
> La OSRI ya me ha hecho esas sondas y no han sido como estas.
>
> Damián Tomey Soto
> Administrador Red EQRO
> Tel: (32) 413011 Ext. 1488
>
> El 12/02/2015 a las 12:34 p.m., låzaro escribió:
> >chama no me había fijado en el diálogo smtp
> >
> >eso es una sonda de la OSRI
> >
> >
> >Thread name: "Re: [Gutl-l] DoS o Relay, que me aconsejan"
> >Mail number: 4
> >Date: Thu, Feb 12, 2015
> >In reply to: Michael González Medina
> >>El 12/02/15 11:41, Damián Tomey Soto escribió:
> >>>Saludos colegas, desde hace días estoy recibiendo notificaciones
> >>>como las que están más abajo desde mi pasarela de correo.
> >>>Al parecer o me quieren coger de relay o me están haciendo un
> >>>ataque de denegación de servicio.
> >>>De esto ya he informado a la OSRI por los canales correspondientes.
> >>>Para protegerme de ataques tengo implementado fail2band pero los
> >>>intentos vienen desde diferentes IP así que el fail2band está
> >>>baneando a malanga y al puesto de vianda.
> >>>No puedo tumbar el puerto 25 porque sino me quedo sin correo, así
> >>>que acudo a ustedes a ver que aconsejan porque es posible que no
> >>>solo sea a mi y la solución puede ayudar a otros.
> >>>Gracias.
> >>>
> >>>Damián Tomey Soto
> >>>Administrador Red EQRO
> >>>Tel: (32) 413011 Ext. 1488
> >>>
> >>>
> >>>
> >>>-------- Mensaje reenviado --------
> >>>Asunto: Postfix SMTP server: errors from unknown[197.89.13.161]
> >>>Fecha: Thu, 12 Feb 2015 11:25:33 -0500 (CST)
> >>>De: Mail Delivery System <mailer-dae...@afrodita.emprequin.co.cu>
> >>>Para: Postmaster <m...@correo.iba.aqui>
> >>>
> >>>
> >>>
> >>>Transcript of session follows.
> >>>
> >>>Out: 220 amitrex.emprequin.co.cu ESMTP Postfix EQRO (Debian/GNU)
> >>>In: EHLO [192.168.2.33]
> >>>Out: 250-afrodita.emprequin.co.cu
> >>>Out: 250-PIPELINING
> >>>Out: 250-SIZE 5242880
> >>>Out: 250-ETRN
> >>>Out: 250-STARTTLS
> >>>Out: 250-ENHANCEDSTATUSCODES
> >>>Out: 250-8BITMIME
> >>>Out: 250 DSN
> >>>In: MAIL FROM: <t...@live.com>
> >>>Out: 250 2.1.0 Ok
> >>>In: RCPT TO: <therichshei...@yahoo.com>
> >>>Out: 554 5.7.1 <therichshei...@yahoo.com>: Relay access denied
> >>>In: QUIT
> >>>Out: 221 2.0.0 Bye
> >>>
> >>>
> >>>For other details, see the local mail logfile
> >>>
> >>>
> >>>
> >>>
> >>>
> >>Damián:
> >>
> >> Desde mi punto de vista todo parece estar bien. Si el "...fail2band
> >>está baneando a malanga y al puesto de vianda. ..." pues es
> >>porque(como te está diciendo en el reporte) están tratando de hacer
> >>relay a través de tu servidor, ... ese es el comportamiento
> >>esperado(es decir, eso es lo que esperas/tratas que haga de tu
> >>servidor ante estos intentos), así que seguirán siendo baneados esos
> >>IPs hasta que se les acabe el rango de direcciones(lo cual parece un
> >>tanto difícil pues a cada rato los que se dedican a esto compran
> >>bloques completos de direcciones IPs a precios de "...lechón
> >>enfermo...")
> >>
> >> Pero bueno... eso es lo que estas haciendo tu(bien por ti) para
> >>proteger tu servidor(además de otras opciones como las que te
> >>sugiere Lázaro u otras que se te vayan ocurriendo), así que ...
> >>bienvenido al mundo real ;-) ... donde *todos* los servicios
> >>públicos están bajo constante exposición a este tipo de acciones,
> >>
> >>saludos,
> >>
> >>--
> >>Michael González Medina
> >>Administrador de Red
> >>Centro Nacional de Sanidad Vegetal
> >>
> >>
> >>--
> >>Este mensaje ha sido analizado por MailScanner
> >>en busca de virus y otros contenidos peligrosos,
> >>y se considera que está limpio.
> >>
> >>------------ próxima parte ------------
> >>Se ha borrado un adjunto en formato HTML...
> >>URL:
> >><http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150212/9e300ccd/attachment.html>
> >>______________________________________________________________________
> >>Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> >>Gutl-l@jovenclub.cu
> >>https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
> >
> >
> >______________________________________________________________________
> >Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> >Gutl-l@jovenclub.cu
> >https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
>
>
> --
> Este mensaje ha sido analizado por MailScanner
> en busca de virus y otros contenidos peligrosos,
> y se considera que está limpio.
>
> ------------ próxima parte ------------
> Se ha borrado un adjunto en formato HTML...
> URL:
> <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150212/6e652aac/attachment.html>
> ______________________________________________________________________
> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
> Gutl-l@jovenclub.cu
> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
--
-------- Warning! ------------
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.
A continuación, la firma de una herramienta inútil:
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
