Fórum:
Sziasztok,
Nagy gondban vagyok, most már vagy 2 hete elképesztő erővel támadják a VPS gépemet.
Először az ssh volt a célpont amit a felhasználónevek és jelszavak próbálkozásával brute-force módszerrel támadtak. Ez részben megoldódott, mert az ssh-t leállítottam és most csak addig elérhető a netről amíg belépek rá.
Gondolom ezen felettébb felháborodott a támadó, hogy portscannel sem talál egyetlen egy portot sem ahol tudna tovább próbálkozni az ssh-n, valószínűleg ezért "ha ló nincs, szamár is jó" példára a gépen üzemelő sendmail-mta-ra nyergelt át a tárgyban említett módszerrel. Már lassan az ipv4 negyedét iptablessel kitiltottam a 25portra, de nem tudom megállítani a támadást, mert valószínűleg több tízezer zombi géppel rendelkezhet, így esélytelen ezen a módon megállítani.
Hogy úgy éreztetni tudjam a mennyiséget naponta kb. 100MByte log képződik ami ilyesmiből áll:
Feb 07 17:30:46 NETVAS sm-mta[2542183]: 417GT3iK2542183: from=<fthfgh4563wewcmwe@handshopstadtfeld-magdeburg.eu>, size=0, class=0, nrcpts=1, proto=ESMTP, daemon> Feb 07 17:30:46 NETVAS sm-mta[2542183]: 417GT3iK2542183: lost input channel from 222.105.245.49.unknown.m1.com.sg [49.245.105.222] (may be forged) to MTA afte> Feb 07 17:30:45 NETVAS sm-mta[2542188]: 417GTCmO2542188: <suzanne@domain.hu>... User unknown Feb 07 17:30:45 NETVAS sm-mta[2542187]: 417GTBgl2542187: <arnold@domain.hu>... User unknown Feb 07 17:30:45 NETVAS sm-mta[2542515]: 417GTflU2542515: <remote@domain.hu>... User unknown Feb 07 17:30:45 NETVAS sm-mta[2542511]: 417GTWMW2542511: <recursoshumanos@domain.hu>... User unknown Feb 07 17:30:45 NETVAS sm-mta[2542183]: 417GT3iK2542183: <3ozt1fc8lgm59d@domain.hu>... User unknown Feb 07 17:30:44 NETVAS sm-mta[2542188]: 417GTCmO2542188: <x@domain.hu>... User unknown Feb 07 17:30:44 NETVAS sm-mta[2542187]: 417GTBgl2542187: <buhgalter@domain.hu>... User unknown Feb 07 17:30:44 NETVAS sm-mta[2542515]: 417GTflU2542515: <smoore@domain.hu>... User unknown Feb 07 17:30:44 NETVAS sm-mta[2542511]: 417GTWMW2542511: <soft@domain.hu>... User unknown Feb 07 17:30:44 NETVAS sm-mta[2542183]: 417GT3iK2542183: <taira@domain.hu>... User unknown Feb 07 17:30:43 NETVAS sm-mta[2542188]: 417GTCmO2542188: <ah@domain.hu>... User unknown Feb 07 17:30:43 NETVAS sm-mta[2542187]: 417GTBgl2542187: <chef@domain.hu>... User unknown Feb 07 17:30:43 NETVAS sm-mta[2542515]: 417GTflU2542515: <nobu@domain.hu>... User unknown Feb 07 17:30:43 NETVAS sm-mta[2542511]: 417GTWMW2542511: <almacen@domain.hu>... User unknown Feb 07 17:30:43 NETVAS sm-mta[2542183]: 417GT3iK2542183: <alee@domain.hu>... User unknown Feb 07 17:30:42 NETVAS sm-mta[2542188]: 417GTCmO2542188: <bianca@domain.hu>... User unknown Feb 07 17:30:42 NETVAS sm-mta[2542187]: 417GTBgl2542187: <elisabeth@domain.hu>... User unknown Feb 07 17:30:42 NETVAS sm-mta[2542515]: 417GTflU2542515: <vivian@domain.hu>... User unknown Feb 07 17:30:42 NETVAS sm-mta[2542511]: 417GTWMW2542511: <listmaster@domain.hu>... User unknown Feb 07 17:30:42 NETVAS sm-mta[2542183]: 417GT3iK2542183: <helene@domain.hu>... User unknown Feb 07 17:30:41 NETVAS sm-mta[2542188]: 417GTCmO2542188: <elopez@domain.hu>... User unknown Feb 07 17:30:41 NETVAS sm-mta[2542187]: 417GTBgl2542187: <hong@domain.hu>... User unknown Feb 07 17:30:41 NETVAS sm-mta[2542515]: 417GTflU2542515: <geier@domain.hu>... User unknown Feb 07 17:30:41 NETVAS sm-mta[2542511]: 417GTWMW2542511: <misaki@domain.hu>... User unknown Feb 07 17:30:41 NETVAS sm-mta[2542183]: 417GT3iK2542183: <jenna@domain.hu>... User unknown Feb 07 17:30:40 NETVAS sm-mta[2542188]: 417GTCmO2542188: <tecnico@domain.hu>... User unknown Feb 07 17:30:40 NETVAS sm-mta[2542187]: 417GTBgl2542187: <mmorales@domain.hu>... User unknown Feb 07 17:30:40 NETVAS sm-mta[2542515]: 417GTflU2542515: <ktaylor@domain.hu>... User unknown Feb 07 17:30:40 NETVAS sm-mta[2542511]: 417GTWMW2542511: <remote@domain.hu>... User unknown Feb 07 17:30:40 NETVAS sm-mta[2542183]: 417GT3iK2542183: <lombardi@domain.hu>... User unknown Feb 07 17:30:39 NETVAS sm-mta[2542188]: 417GTCmO2542188: <wm@domain.hu>... User unknown Feb 07 17:30:39 NETVAS sm-mta[2542187]: 417GTBgl2542187: <mueller@domain.hu>... User unknown Feb 07 17:30:39 NETVAS sm-mta[2542515]: 417GTflU2542515: <postmaster2@domain.hu>... User unknown Feb 07 17:30:39 NETVAS sm-mta[2542511]: 417GTWMW2542511: <smoore@domain.hu>... User unknown Feb 07 17:30:39 NETVAS sm-mta[2542183]: 417GT3iK2542183: <office1@domain.hu>... User unknown Feb 07 17:30:38 NETVAS sm-mta[2542188]: 417GTCmO2542188: <aramirez@domain.hu>... User unknown Feb 07 17:30:38 NETVAS sm-mta[2542187]: 417GTBgl2542187: <pl@domain.hu>... User unknown Feb 07 17:30:38 NETVAS sm-mta[2542515]: 417GTflU2542515: <saki@domain.hu>... User unknown Feb 07 17:30:38 NETVAS sm-mta[2542511]: 417GTWMW2542511: <nobu@domain.hu>... User unknown Feb 07 17:30:38 NETVAS sm-mta[2542183]: 417GT3iK2542183: <ronald@domain.hu>... User unknown Feb 07 17:30:37 NETVAS sm-mta[2542188]: 417GTCmO2542188: <incus@domain.hu>... User unknown Feb 07 17:30:37 NETVAS sm-mta[2542187]: 417GTBgl2542187: <takahiro@domain.hu>... User unknown Feb 07 17:30:37 NETVAS sm-mta[2542515]: 417GTflU2542515: <stacey@domain.hu>... User unknown Feb 07 17:30:37 NETVAS sm-mta[2542176]: 417GSsqc2542176: from=<wm6oktklejk56dyy4lkfd@gladybranch.org>, size=0, class=0, nrcpts=1, proto=ESMTP, daemon=MTA, relay=[120> Feb 07 17:30:37 NETVAS sm-mta[2542176]: 417GSsqc2542176: lost input channel from [120.236.107.218] to MTA after rcpt Feb 07 17:30:37 NETVAS sm-mta[2542511]: 417GTWMW2542511: <ddvuj0hhljsgaqq@domain.hu>... User unknown Feb 07 17:30:37 NETVAS sm-mta[2542183]: 417GT3iK2542183: <su@domain.hu>... User unknown Feb 07 17:30:36 NETVAS sm-mta[2542188]: 417GTCmO2542188: <maru@domain.hu>... User unknown
Most már kínomban leállítottam a sendmailt is, s néhány óránként elindítom, hogyha valami hasznos levél jönne akkor az legalább eljusson hozzám. De ez így nyilván nem megoldás.
Szóval olyan ember segítségét kérem aki kb. a kisujjából kirázza a sendmail beállításait és így meg tudjuk állítani ezt a támadást, mert remélem, hogy lehet úgy konfigolni a sendmailt, hogy védelmet nyújtson az efféle floodtól. Gondolok itt arra, hogy pl. egy levél 1 címzett, és ugyanazon ip címről csak mondjuk 1 óra múlva engedjen, vagy esetleg ezt a dkim azonosítást jól beállítani az is jó lenne, mert a támadó szinte biztos, hogy nem rendelkezik azzal, vagy mit tudom én hogyan.... (ha tudnám már megcsináltam volna :).
Amiket találtam a sendmailben ConnectionRateThrottle=1, meg stb., hát nem igazán történik jelentős változás.
Még az ssh-hoz felraktam a fail2ban programot, de ez egy komoly támadás ellen fabatkát sem ér.
Rendszer: Debian 12, Sendmail 8.12
Bármilyen más 5letet szívesen vennék, sőt aki komolyan tud segíteni és hathatós megoldás lesz a végeredmény - akár a személyes közreműködésével is - szívesen támogatom némi materiális eszközzel.
Köszönöm, hogy olvastad.
Igazából mit szeretnél?
Beküldte T.István -
Értékelés:
Gondlom, megszokták, hogy van egy XP az IP mögött, azt keresik, az Outlook Expresst mögötte.
De igazából mit szeretnél, mi a VPS célja?
Amit tapasztalsz az a mai internet. Egymagadban nem fogsz tudni ez ellen fellépni. Ha csak az kell, hogy távolról elérd a cuccaidat, akkor érdemes VPN felé mozdulni, és valami kész termékre építkezni, pl. TrueNas.
Ha szolgáltatni akarsz, személyes weboldalt, akkor érdemesebb valami ilyen szolgáltatót keresni (komolyabbat mint egy bolthely.eu, meg hasonlók).
OK, hogy az IPv4-et konfigurálod, és az IPv6 hol marad? Azt is konfigurálni kellene, de sok szerencsét hozzá. Komolyan ezzel akarsz foglalkozni?
Bocsánat de tudod, mi az a vps egyáltalán ?
Beküldte Nevetel -
Értékelés:
Te tudod miről beszélsz egyáltalán ?
Szerintem még a problémát sem érted, azt sem tudod mi az a vps !
Bocsánat de tudod, mi az a vps egyáltalán ?
Beküldte T.István -
Értékelés:
Viccet félretéve
Beküldte T.István -
Értékelés:
Nem sokat árulsz el, így csak arra tudok alapozni, hogy házi szervert próbálsz beüzemelni, mert abból amit eddig írtál egyéb topicokban, el nem tudom képzelni, hogy valami ördögi kémkedő cég VPS szolgáltatását használod.