[MASOCH-L] Dropar conexão em HELO/EHLO
Daniel Vasconcelos
vdaniel at tcheturbo.com.br
Thu Nov 27 12:03:00 BRST 2014
Não vai rolar via iptables. Veja o que o tcpdump me trouxe desta
conexão, onde o IP 177.55.98.178 foi capturado nos logs do exim.
root at freedom [/var/log]# tcpdump -i eth0 src host 177.55.98.178
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
8321523, win 0, length 0
11:50:11.083026 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [SEW], seq 3211625999, win 8192, options [mss 1460,nop,wscale
8,nop,nop,sackOK], length 0
11:50:11.111356 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [.], ack 1046998168, win 513, length 0
11:50:11.141268 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [P.], seq 0:14, ack 182, win 512, length 14
11:50:11.169967 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [P.], seq 14:26, ack 336, win 511, length 12
11:50:11.202186 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [P.], seq 26:44, ack 354, win 511, length 18
11:50:11.232927 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [P.], seq 44:54, ack 372, win 511, length 10
11:50:13.270697 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [F.], seq 54, ack 407, win 511, length 0
11:50:13.300108 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [R.], seq 55, ack 458, win 0, length 0
11:50:13.300131 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
Flags [R], seq 3211626055, win 0, length 0
11:50:54.157038 IP 177.55.98.178.53369 > freedom.meuserver.com.br.smtp:
Flags [SEW], seq 3234837049, win 8192, options [mss 1460,nop,wscale
8,nop,nop,sackOK], length 0
11:50:54.187513 IP 177.55.98.178.53369 > freedom.meuserver.com.br.smtp:
Flags [.], ack 180261751, win 513, length 0
11:50:54.216039 IP 177.55.98.178.53369 > freedom.meuserver.com.br.smtp:
Flags [P.], seq 0:14, ack 182, win 512, length 14
Atenciosamente,
Daniel Vasconcelos
--
IT Analyst
Em 27/11/2014 11:31, Roberto Lima escreveu:
> Com iptables -m string deve resolver seu problema. analise o fluxo de dados
> através do tcpdump e verifique se aparece a string correspondente lá. Mas
> creio que irá funcionar sim pois eh um plain text que vai no ehlo.
>
> iptables -I INPUT (ou A se preferir) --dport 25 -m string --string 'ylmf-pc'
> --algo bm -j DROP
>
> Att.
>
> Em 27 de novembro de 2014 10:42, Daniel Vasconcelos <
> vdaniel at tcheturbo.com.br> escreveu:
>
>> Preciso fazer isso utilizando o próprio EXIM, só que não tá fluindo.
>>
>> Atenciosamente,
>> Daniel Vasconcelos
>> IT Analyst
>>
>> Em 27/11/2014 09:33, Danton Nunes escreveu:
>>
>> On Thu, 27 Nov 2014, Daniel Vasconcelos wrote:
>>> Preciso dropar uma conexão vinda de uma máquina de nome "ylmf-pc",
>>>> independente de seu /source address, /pois este IP é aleatório (bot net).
>>>> Bom, estou sofrendo um ataque, nos logs é possível verificar os
>>>> seguintes registros:
>>>>
>>> iptables -m string?
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list