Sziasztok,

Nagy gondban vagyok, most már vagy 2 hete elképesztő erővel támadják a VPS gépemet.

Először az ssh volt a célpont amit a felhasználónevek és jelszavak próbálkozásával brute-force módszerrel támadtak. Ez részben megoldódott, mert az ssh-t leállítottam és most csak addig elérhető a netről amíg belépek rá.
Gondolom ezen felettébb felháborodott a támadó, hogy portscannel sem talál egyetlen egy portot sem ahol tudna tovább próbálkozni az ssh-n, valószínűleg ezért "ha ló nincs, szamár is jó" példára a gépen üzemelő sendmail-mta-ra nyergelt át a tárgyban említett módszerrel. Már lassan az ipv4 negyedét iptablessel kitiltottam a 25portra, de nem tudom megállítani a támadást, mert valószínűleg több tízezer zombi géppel rendelkezhet, így esélytelen ezen a módon megállítani.

Hogy úgy éreztetni tudjam a mennyiséget naponta kb. 100MByte log képződik ami ilyesmiből áll:

Feb 07 17:30:46 NETVAS sm-mta[2542183]: 417GT3iK2542183: from=<fthfgh4563wewcmwe@handshopstadtfeld-magdeburg.eu>, size=0, class=0, nrcpts=1, proto=ESMTP, daemon>
Feb 07 17:30:46 NETVAS sm-mta[2542183]: 417GT3iK2542183: lost input channel from 222.105.245.49.unknown.m1.com.sg [49.245.105.222] (may be forged) to MTA afte>
Feb 07 17:30:45 NETVAS sm-mta[2542188]: 417GTCmO2542188: <suzanne@domain.hu>... User unknown
Feb 07 17:30:45 NETVAS sm-mta[2542187]: 417GTBgl2542187: <arnold@domain.hu>... User unknown
Feb 07 17:30:45 NETVAS sm-mta[2542515]: 417GTflU2542515: <remote@domain.hu>... User unknown
Feb 07 17:30:45 NETVAS sm-mta[2542511]: 417GTWMW2542511: <recursoshumanos@domain.hu>... User unknown
Feb 07 17:30:45 NETVAS sm-mta[2542183]: 417GT3iK2542183: <3ozt1fc8lgm59d@domain.hu>... User unknown
Feb 07 17:30:44 NETVAS sm-mta[2542188]: 417GTCmO2542188: <x@domain.hu>... User unknown
Feb 07 17:30:44 NETVAS sm-mta[2542187]: 417GTBgl2542187: <buhgalter@domain.hu>... User unknown
Feb 07 17:30:44 NETVAS sm-mta[2542515]: 417GTflU2542515: <smoore@domain.hu>... User unknown
Feb 07 17:30:44 NETVAS sm-mta[2542511]: 417GTWMW2542511: <soft@domain.hu>... User unknown
Feb 07 17:30:44 NETVAS sm-mta[2542183]: 417GT3iK2542183: <taira@domain.hu>... User unknown
Feb 07 17:30:43 NETVAS sm-mta[2542188]: 417GTCmO2542188: <ah@domain.hu>... User unknown
Feb 07 17:30:43 NETVAS sm-mta[2542187]: 417GTBgl2542187: <chef@domain.hu>... User unknown
Feb 07 17:30:43 NETVAS sm-mta[2542515]: 417GTflU2542515: <nobu@domain.hu>... User unknown
Feb 07 17:30:43 NETVAS sm-mta[2542511]: 417GTWMW2542511: <almacen@domain.hu>... User unknown
Feb 07 17:30:43 NETVAS sm-mta[2542183]: 417GT3iK2542183: <alee@domain.hu>... User unknown
Feb 07 17:30:42 NETVAS sm-mta[2542188]: 417GTCmO2542188: <bianca@domain.hu>... User unknown
Feb 07 17:30:42 NETVAS sm-mta[2542187]: 417GTBgl2542187: <elisabeth@domain.hu>... User unknown
Feb 07 17:30:42 NETVAS sm-mta[2542515]: 417GTflU2542515: <vivian@domain.hu>... User unknown
Feb 07 17:30:42 NETVAS sm-mta[2542511]: 417GTWMW2542511: <listmaster@domain.hu>... User unknown
Feb 07 17:30:42 NETVAS sm-mta[2542183]: 417GT3iK2542183: <helene@domain.hu>... User unknown
Feb 07 17:30:41 NETVAS sm-mta[2542188]: 417GTCmO2542188: <elopez@domain.hu>... User unknown
Feb 07 17:30:41 NETVAS sm-mta[2542187]: 417GTBgl2542187: <hong@domain.hu>... User unknown
Feb 07 17:30:41 NETVAS sm-mta[2542515]: 417GTflU2542515: <geier@domain.hu>... User unknown
Feb 07 17:30:41 NETVAS sm-mta[2542511]: 417GTWMW2542511: <misaki@domain.hu>... User unknown
Feb 07 17:30:41 NETVAS sm-mta[2542183]: 417GT3iK2542183: <jenna@domain.hu>... User unknown
Feb 07 17:30:40 NETVAS sm-mta[2542188]: 417GTCmO2542188: <tecnico@domain.hu>... User unknown
Feb 07 17:30:40 NETVAS sm-mta[2542187]: 417GTBgl2542187: <mmorales@domain.hu>... User unknown
Feb 07 17:30:40 NETVAS sm-mta[2542515]: 417GTflU2542515: <ktaylor@domain.hu>... User unknown
Feb 07 17:30:40 NETVAS sm-mta[2542511]: 417GTWMW2542511: <remote@domain.hu>... User unknown
Feb 07 17:30:40 NETVAS sm-mta[2542183]: 417GT3iK2542183: <lombardi@domain.hu>... User unknown
Feb 07 17:30:39 NETVAS sm-mta[2542188]: 417GTCmO2542188: <wm@domain.hu>... User unknown
Feb 07 17:30:39 NETVAS sm-mta[2542187]: 417GTBgl2542187: <mueller@domain.hu>... User unknown
Feb 07 17:30:39 NETVAS sm-mta[2542515]: 417GTflU2542515: <postmaster2@domain.hu>... User unknown
Feb 07 17:30:39 NETVAS sm-mta[2542511]: 417GTWMW2542511: <smoore@domain.hu>... User unknown
Feb 07 17:30:39 NETVAS sm-mta[2542183]: 417GT3iK2542183: <office1@domain.hu>... User unknown
Feb 07 17:30:38 NETVAS sm-mta[2542188]: 417GTCmO2542188: <aramirez@domain.hu>... User unknown
Feb 07 17:30:38 NETVAS sm-mta[2542187]: 417GTBgl2542187: <pl@domain.hu>... User unknown
Feb 07 17:30:38 NETVAS sm-mta[2542515]: 417GTflU2542515: <saki@domain.hu>... User unknown
Feb 07 17:30:38 NETVAS sm-mta[2542511]: 417GTWMW2542511: <nobu@domain.hu>... User unknown
Feb 07 17:30:38 NETVAS sm-mta[2542183]: 417GT3iK2542183: <ronald@domain.hu>... User unknown
Feb 07 17:30:37 NETVAS sm-mta[2542188]: 417GTCmO2542188: <incus@domain.hu>... User unknown
Feb 07 17:30:37 NETVAS sm-mta[2542187]: 417GTBgl2542187: <takahiro@domain.hu>... User unknown
Feb 07 17:30:37 NETVAS sm-mta[2542515]: 417GTflU2542515: <stacey@domain.hu>... User unknown
Feb 07 17:30:37 NETVAS sm-mta[2542176]: 417GSsqc2542176: from=<wm6oktklejk56dyy4lkfd@gladybranch.org>, size=0, class=0, nrcpts=1, proto=ESMTP, daemon=MTA, relay=[120>
Feb 07 17:30:37 NETVAS sm-mta[2542176]: 417GSsqc2542176: lost input channel from [120.236.107.218] to MTA after rcpt
Feb 07 17:30:37 NETVAS sm-mta[2542511]: 417GTWMW2542511: <ddvuj0hhljsgaqq@domain.hu>... User unknown
Feb 07 17:30:37 NETVAS sm-mta[2542183]: 417GT3iK2542183: <su@domain.hu>... User unknown
Feb 07 17:30:36 NETVAS sm-mta[2542188]: 417GTCmO2542188: <maru@domain.hu>... User unknown

Most már kínomban leállítottam a sendmailt is, s néhány óránként elindítom, hogyha valami hasznos levél jönne akkor az legalább eljusson hozzám. De ez így nyilván nem megoldás.

Szóval olyan ember segítségét kérem aki kb. a kisujjából kirázza a sendmail beállításait és így meg tudjuk állítani ezt a támadást, mert remélem, hogy lehet úgy konfigolni a sendmailt, hogy védelmet nyújtson az efféle floodtól. Gondolok itt arra, hogy pl. egy levél 1 címzett, és ugyanazon ip címről csak mondjuk 1 óra múlva engedjen, vagy esetleg ezt a dkim azonosítást jól beállítani az is jó lenne, mert a támadó szinte biztos, hogy nem rendelkezik azzal, vagy mit tudom én hogyan.... (ha tudnám már megcsináltam volna :).
Amiket találtam a sendmailben ConnectionRateThrottle=1, meg stb., hát nem igazán történik jelentős változás.
Még az ssh-hoz felraktam a fail2ban programot, de ez egy komoly támadás ellen fabatkát sem ér.

Rendszer: Debian 12, Sendmail 8.12

Bármilyen más 5letet szívesen vennék, sőt aki komolyan tud segíteni és hathatós megoldás lesz a végeredmény - akár a személyes közreműködésével is - szívesen támogatom némi materiális eszközzel.

Köszönöm, hogy olvastad.