Help
Prezados,
Estou com um problema que está dando bastante dor de cabeça.
Em uma conta de um cliente, duas caixas postais de e-mail estavam sendo utilizadas para envio de SPAM.
Descobrimos isto e verificamos com o cliente e as máquinas estavam infectadas com vírus.
O vírus foi removido mas o que está acontecendo é que estão tentando enviar mensagens por estas contas do vários lugares no mundo e o cPanel rejeita todas as conexões e tentativas, mas os alertas de tentativa de "Força Bruta" são enviados para a minha conta.
Só hoje recebi mais de 2.000 mensagens de tentativa de envio usando estas contas.
As contas já foram removidas e não existem mais no cliente.
Alguém tem alguma ideia do que eu posso fazer para bloquear isto?
No servidor tem instalado o CS Mailscanner e o CS Firewall.
Agradeço antecipadamente qualquer auxílio.
[]'s
MA
Page 1 of 1
Problemas com tentativa de envio de e-mail Tentativa de envio de e-mail usando conta removida
#1
- Novato
-
- Grupo: Membros
- Posts: 3
- Cadastrado: 27-junho 07
- Gender:Male
- Location:São Paulo
Posted 09 maio 2011 - 09:51
#2
- Se às mãos fazem errar -> yum remove hands -y
-
- Grupo: Membros
- Posts: 1166
- Cadastrado: 19-julho 07
- Gender:Male
- Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!
Posted 09 maio 2011 - 10:24
Boa noite,
Aumente o tempo de bloqueio e deixe o csf fazer todo trabalho duro.
Authrelay é sem dúvidas a maior preocupação dos últimos 30 dias, mas o csf dará conta!
Abraços e boa sorte para ti.
Aumente o tempo de bloqueio e deixe o csf fazer todo trabalho duro.
Authrelay é sem dúvidas a maior preocupação dos últimos 30 dias, mas o csf dará conta!
Abraços e boa sorte para ti.
#3
- Novato
-
- Grupo: Membros
- Posts: 3
- Cadastrado: 27-junho 07
- Gender:Male
- Location:São Paulo
Posted 09 maio 2011 - 10:43
Obrigado pela dica.
Qual a sugestão para o tempo de bloqueio?
Hoje a configuração está da seguinte forma:
IP Based Brute Force Protection Period in minutes: 30
Brute Force Protection Period in minutes: 5
Maximum Failures By Account: 4
Maximum Failures Per IP: 5
Maximum Failures Per IP before IP is blocked for two week period: 30
[]'s
Qual a sugestão para o tempo de bloqueio?
Hoje a configuração está da seguinte forma:
IP Based Brute Force Protection Period in minutes: 30
Brute Force Protection Period in minutes: 5
Maximum Failures By Account: 4
Maximum Failures Per IP: 5
Maximum Failures Per IP before IP is blocked for two week period: 30
[]'s
This post has been edited by maurelio: 09 maio 2011 - 11:02
#4
- Se às mãos fazem errar -> yum remove hands -y
-
- Grupo: Membros
- Posts: 1166
- Cadastrado: 19-julho 07
- Gender:Male
- Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!
Posted 10 maio 2011 - 12:59
30 minutos -> 24 hs
BF proteção -> 24 hs
Máximo de falhas pode ficar assim (pois tem gente que realmente erra sem qualquer má intenção).
Máximo de falhas por ip-> 10 (no máximo)
BF proteção -> 24 hs
Máximo de falhas pode ficar assim (pois tem gente que realmente erra sem qualquer má intenção).
Máximo de falhas por ip-> 10 (no máximo)
#5
- Ele mora no fórum!
-
- Grupo: Membros
- Posts: 682
- Cadastrado: 06-agosto 06
- Gender:Male
- Location:Belo Horizonte
Posted 10 maio 2011 - 10:48
Eu já vi isso em escala, e dependendo da quantidade de clientes em teu server, e da configuração do teu server, o melhor é configurar o site pra direcionar o MX pra outro servidor.
Não tem outra forma, a nível de software. Cuidado pra o Firewall não derrubar sua máquina, por tanto trabalhar.
Não tem outra forma, a nível de software. Cuidado pra o Firewall não derrubar sua máquina, por tanto trabalhar.
#6
- Se às mãos fazem errar -> yum remove hands -y
-
- Grupo: Membros
- Posts: 1166
- Cadastrado: 19-julho 07
- Gender:Male
- Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!
Posted 10 maio 2011 - 11:37
Mas tem uma coisa, Ergti, CSF quando está sob stress bloqueia até range.
Tenho um cliente que neste instante está passando por isso, o hardware que está sob ataque (diga-se de passagem, muito forte) utiliza-se de uma dualcore (razoavelmente rápida) e está segurando bem, na verdade minha única preocupação é a porta de link real/estável do datacenter (Brasil) que usa 10mbps, quando na verdade o ideal é deixar 100mbs ou mais para que as rbls sejam mais alimentadas em menor tempo.
Mas de qualquer forma, se quiser amenizar ainda mais fale com IDC, passível de emprestarem um hardware firewall para dar uma força.
O que na verdade está ocorrendo é um massivo ataque de brute-force, e o mais interessante, sincronizado e com ranges de ips dos mais variados locais (índia, Brasil, China e etc).
Um ponto me chamou muito a atenção, a maior parte dos ataques são oriundos da China e do Brasil (principalmente Brasil).
O load não subiu de maneira que tornou-se algum agravante para o caso do meu cliente, mas como cada caso é um caso provavelmente você ou a Sierti pegaram alguma coisa com maior escala que a atual situação em que estou manipulando um workaround enquanto a RBL se forma.
Abraços a todos e espero que seja sanado seu problema, Maurelio.
Tenho um cliente que neste instante está passando por isso, o hardware que está sob ataque (diga-se de passagem, muito forte) utiliza-se de uma dualcore (razoavelmente rápida) e está segurando bem, na verdade minha única preocupação é a porta de link real/estável do datacenter (Brasil) que usa 10mbps, quando na verdade o ideal é deixar 100mbs ou mais para que as rbls sejam mais alimentadas em menor tempo.
Mas de qualquer forma, se quiser amenizar ainda mais fale com IDC, passível de emprestarem um hardware firewall para dar uma força.
O que na verdade está ocorrendo é um massivo ataque de brute-force, e o mais interessante, sincronizado e com ranges de ips dos mais variados locais (índia, Brasil, China e etc).
Um ponto me chamou muito a atenção, a maior parte dos ataques são oriundos da China e do Brasil (principalmente Brasil).
O load não subiu de maneira que tornou-se algum agravante para o caso do meu cliente, mas como cada caso é um caso provavelmente você ou a Sierti pegaram alguma coisa com maior escala que a atual situação em que estou manipulando um workaround enquanto a RBL se forma.
Abraços a todos e espero que seja sanado seu problema, Maurelio.
This post has been edited by little_oak: 10 maio 2011 - 11:37
#7
- Se às mãos fazem errar -> yum remove hands -y
-
- Grupo: Membros
- Posts: 1166
- Cadastrado: 19-julho 07
- Gender:Male
- Interests:Gnu/Linux, Windows Server, PHP, Mysql, Postgres, Ajax, Flex e Café, soldat, Warcraft, Quake, Counter Strike, Cachorros, Surf e tomar muito, mas muito café!
Posted 10 maio 2011 - 11:44
Um ponto que lembrei neste instante, aumente a quantidade de ips bloqueados permanentemente, isto fará muita diferença.
Por padrão o CSF tende bloquear permanentemente 100 ips, para mudar isto para 1000 procure pela opção: DENY_IP_LIMIT = Default: 100 e modifique o 100 para 1000.
Abraços.
Por padrão o CSF tende bloquear permanentemente 100 ips, para mudar isto para 1000 procure pela opção: DENY_IP_LIMIT = Default: 100 e modifique o 100 para 1000.
Abraços.
Share this topic:
Page 1 of 1