[General] Ayuda con un ataque!!!

Rodolfo Alcazar Portillo rodolfo.alcazar en padep.org.bo
Jue Mar 27 08:26:29 CLST 2008 

Am Mittwoch, den 26.03.2008, 16:34 -0600 schrieb Gunnar Wolf:
> Rodolfo Alcazar Portillo dijo [Tue, Mar 25, 2008 at 04:14:30PM -0400]:
> > Amigos, (disculpen el HTML, pero lo uso para la legibilidad) esta vez tengo un problema muy molesto. 
> 
> Hola,
> 
> Disculpa que te agarre a patadas, las empleo para llamar mejor tu
> atención.

Mientras resolvamos el problema...

> > Me están llegando miles y miles de mensajes de muy diferentes sitios de internet, 
> > todos son bounces a un sólo usuario, el tráfico es increíble, tanto que ayer
> > MailScanner me saturó el servidor. Aquí, una muestra de menos de un segundo
> > de actividad:
> > (...)
> 
> Recomendación sencilla: Instala un par de ayudantes automáticos y
> confiables antispam. En este caso en particular, estoy seguro que con
> instalar un esquema de greylisting (para Postfix, Postgrey hace lo que
> requieres) estás. ¿Qué es greylisting? Una política para tu servidor
> de correo siguiendo la cual, si te llega correo de alguien con quien
> no tengas relación (esto es, que nunca antes (donde "nunca" expira,
> claro, pero no importa) te ha mandado directamente un correo), al
> solicitar el envío recibe una respuesta de "temporalmente no
> disponible".

Lo tengo instalado desde hace más de un año.

> ...Y ya entrados en gastos, un bogofilter o un spamassassin te van a
> venir de maravilla. Además, estos pueden colgarse de Amavis, junto con
> ClamAV, un antivirus libre con muy buena frecuencia de
> actualizaciones. ¿No te late? 

También tengo Clamav, Amavis, Mailscanner. rbl. 

> Lo mejor del asunto es que típicamente son cosa de instalar el paquete
> y agregarle una línea a la configuración de tu MTA para activarlo. 
> A menos, claro, que uses Sendmail... Pero creo que ese sólo lo usan
> los paleolíticos modernos ;-)

Uso Sendmail, es relativamente fácil hacer todo aquello. Cuanto
reinstale mi server, probaré Postfix, no lo he usado en producción.
cualquier dato de un buen howto que incluya squirrelmail, smtps, rbl,
greylisting, será bienvenido.

Pero por más greylist y anti-spammers, este ataque está dirigido a un
sólo usuario mediante bounces; no es posible filtrar sin patrones
precisos de bounces, que resultan ser muchos. Puedes ver más en 
http://en.wikipedia.org/wiki/Joe_job

También puedes ver un ejemplo de los bounces que llegan (hasta más de 10
por segundo, aunque la casilla ya no existe):
http://www.padep.org.bo/log20080325/log/ 

Y aquí, algunos análisis que hice para encontrar patrones, pero, nada...
http://www.padep.org.bo/log20080325/checks/

Saludos!
----------------------------------------------
Rodolfo Alcazar - rodolfo.alcazar at padep.org.bo
otbits.blogspot.com / counter.li.org: #367962
----------------------------------------------
"Solange Menschen denken, dass Tiere nicht fühlen; müssen Tiere fühlen,
dass Menschen nicht denken."
- Unbekannter Autor

Más información sobre la lista de distribución Linux