DoS per Mail-Abfragen

25/10/2009 - 16:38 von helmut | Report spam
Hallo alle miteinander,

einer meiner Kollegen an einer Nachbarschule hat seit einigen Tagen das
Problem, dass sein Linux-Server (an dem die ganze Schule - ausser der
Verwaltung - hàngt) anscheinend von draussen mit Anfragen zu/wegen Mail
bombardiert wird; direktes Indiz (so seine Mitteilung auf dem Flur) war
"irgendwas mit Cyrus".

Die Schule hat 3 URLs; einer der URLs wurde in der Zwischenzeit per
Firewall (wie auch immer) abgesichert, der Wegelagerer hat sich jetzt
auf die beiden anderen umorientiert.

Bei (grundsàtzlich vergleichbaren) SSH-Scannern arbeite ich gern mit
einer "iptables"-Regel, die inzwischen auch von der c't propagiert wird:

<http://www.heise.de/security/SSH-vo...Angriffen-
schuetzen--/artikel/142155/3>

Da zieht aber der Scanner bisher stets zur nàchsten Adresse weiter, wenn
mein System ihn geblockt hat; damit ist in diesem Fall wohl nicht zu
rechnen; sieht eher so aus, als ob dieser Wegelagerer sich speziell um
diese eine Schule kümmert.

Um Forensik und Strafrecht will ich mich in diesem Fall noch nicht
kümmern - "dat krieje mer spàter" ...

Gibt es ein simples Verfahren, das (àhnlich oder genauso wie das o.à.
c't-Verfahren) auch (z.B.) bei mehr als 4 E-Mail-Zugriffen in 60
Sekunden a) dichtmacht und b) die Adresse des Anrufers
zwischenspeichert?

Als Mailserver dürfte "postfix" laufen, aber da bin ich mir nicht sicher
(und ich weiss auch nicht so recht, ob das in diesem Zusammenhang
wichtig ist).

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".
 

Lesen sie die antworten

#1 Rupert Haselbeck
25/10/2009 - 20:18 | Warnen spam
Helmut Hullen schrieb:

<http://www.heise.de/security/SSH-vo...Angriffen-
schuetzen--/artikel/142155/3>

Gibt es ein simples Verfahren, das (àhnlich oder genauso wie das o.à.
c't-Verfahren) auch (z.B.) bei mehr als 4 E-Mail-Zugriffen in 60
Sekunden a) dichtmacht und b) die Adresse des Anrufers
zwischenspeichert?



Das in diesem Artikel genannte fail2ban tut doch genau dasselbe wie an
Port 22 auch an anderen frei wàhlbaren Ports.
Aber warum glaubst du, gerade diese Schule sei speziell als Ziel
auserkoren?
Ich bin keine Schule und stelle in den letzten paar Tagen auch fest, daß
tàglich mehrere 10000 Versuche stattfinden, sich per SSH in Mietserver
einzuloggen und noch deutlich mehr Anfragen kommen mit dem Wunsch der
Versendung von Mails. Warum sollte mich das aufregen?

MfG
Rupert

Ähnliche fragen