[MASOCH-L] Dropar conexão em HELO/EHLO

Roberto Lima smuxbr at gmail.com
Thu Nov 27 12:10:43 -03 2014


-AAA deve retornar

Em 27 de novembro de 2014 12:03, Daniel Vasconcelos <
vdaniel at tcheturbo.com.br> escreveu:

> Não vai rolar via iptables. Veja o que o tcpdump me trouxe desta conexão,
> onde o IP 177.55.98.178 foi capturado nos logs do exim.
>
> root at freedom [/var/log]# tcpdump -i eth0 src host 177.55.98.178
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
> 8321523, win 0, length 0
> 11:50:11.083026 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [SEW], seq 3211625999, win 8192, options [mss 1460,nop,wscale
> 8,nop,nop,sackOK], length 0
> 11:50:11.111356 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [.], ack 1046998168, win 513, length 0
> 11:50:11.141268 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [P.], seq 0:14, ack 182, win 512, length 14
> 11:50:11.169967 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [P.], seq 14:26, ack 336, win 511, length 12
> 11:50:11.202186 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [P.], seq 26:44, ack 354, win 511, length 18
> 11:50:11.232927 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [P.], seq 44:54, ack 372, win 511, length 10
> 11:50:13.270697 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [F.], seq 54, ack 407, win 511, length 0
> 11:50:13.300108 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [R.], seq 55, ack 458, win 0, length 0
> 11:50:13.300131 IP 177.55.98.178.62311 > freedom.meuserver.com.br.smtp:
> Flags [R], seq 3211626055, win 0, length 0
> 11:50:54.157038 IP 177.55.98.178.53369 > freedom.meuserver.com.br.smtp:
> Flags [SEW], seq 3234837049, win 8192, options [mss 1460,nop,wscale
> 8,nop,nop,sackOK], length 0
> 11:50:54.187513 IP 177.55.98.178.53369 > freedom.meuserver.com.br.smtp:
> Flags [.], ack 180261751, win 513, length 0
> 11:50:54.216039 IP 177.55.98.178.53369 > freedom.meuserver.com.br.smtp:
> Flags [P.], seq 0:14, ack 182, win 512, length 14
>
>
> Atenciosamente,
> Daniel Vasconcelos
> --
> IT Analyst
>
>
> Em 27/11/2014 11:31, Roberto Lima escreveu:
>
>  Com iptables -m string deve resolver seu problema. analise o fluxo de
>> dados
>> através do tcpdump e verifique se aparece a string correspondente lá. Mas
>> creio que irá funcionar sim pois eh um plain text que vai no ehlo.
>>
>> iptables -I INPUT (ou A se preferir) --dport 25 -m string --string
>> 'ylmf-pc'
>> --algo bm -j DROP
>>
>> Att.
>>
>> Em 27 de novembro de 2014 10:42, Daniel Vasconcelos <
>> vdaniel at tcheturbo.com.br> escreveu:
>>
>>  Preciso fazer isso utilizando o próprio EXIM, só que não tá fluindo.
>>>
>>> Atenciosamente,
>>> Daniel Vasconcelos
>>> IT Analyst
>>>
>>> Em 27/11/2014 09:33, Danton Nunes escreveu:
>>>
>>>   On Thu, 27 Nov 2014, Daniel Vasconcelos wrote:
>>>
>>>>   Preciso dropar uma conexão vinda de uma máquina de nome "ylmf-pc",
>>>>
>>>>> independente de seu /source address, /pois este IP é aleatório (bot
>>>>> net).
>>>>> Bom, estou sofrendo um ataque, nos logs é possível verificar os
>>>>> seguintes registros:
>>>>>
>>>>>  iptables -m string?
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>>  __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>>  __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list