[MASOCH-L] Grande quantidade de SPAM partindo do AS28271 AS52893
Danton Nunes
danton.nunes at inexo.com.br
Thu Oct 25 18:14:41 BRST 2012
On Thu, 25 Oct 2012, Bruno Menoli wrote:
> O IP de um dos meus servidores caiu em blacklist na SPAMHAUS /CBL, ao
> consultar meu IP na CBL recebi essa informação:
>
> You need to:
>
> # Identify which user[s] have had their account broken into. To find the
> user, examine your mail logs looking for connections and email submissions
> from the IP address "177.47.99.11". This could be as much as several weeks
> ago.
> # Disable those users or change their passwords.
> # Purge your outbound mail server queues of all email from these users. You
> could have many thousands.
acho que essa informação é bem auto explicativa, para quem lê inglês,
obviamente. provavelmente uma ou mais senhas de email foram quebradas e
estão sendo usadas pelo 177.47.99.11 para transformar teu servidor em
relay.
enquanto localiza essas contas quebradas (/var/log/secure é um bom lugar
para começar) bloqueie esse cara completamente.
recomendo também usar algum mecanismo para identificar tentativas de
quebra de senha. elas são caracterizadas por um bom número de erros de
senha em protocolos como pop, imap e mesmo smtp, que normalmente acabam no
/var/log/maillog. eu uso o fail2ban para bloquear qualquer um que tenha
mais de cinco tentativas frustradas de login em qualquer desses serviços.
-- Danton
More information about the masoch-l
mailing list