Freesco, NND, CDN, EOS

Luknijcie sobie w ramach ciekawostki na następujący log:

http://test1.milen.pl/log1.exe

(to jest log spakowany winrarem, gwarantuję że nie ma wirusa).

Wystarczy na jeden dzionek zostawić otwarte Relayowanie poczty i już się spamerzy przysysają.
Widać w tym logu wyraźnie jak jakiś szmaciarz puszczał maile przez mój serwer przez coś koło dwóch godzin (widać też w końcu logu jak go załatwiłem, a on ciągle się jeszcze stara).

Czyli podobnie jak u mnie (kilka postów niżej). Dopisałem jego IP do Black List (Communi Gate Pro), więc nic nie może już zrobić, ale cały czas zaśmiecał logi. W końcu musiałem go zablokować na firewall'u bo logi miały po kilkaset kilo!

Nie wiem w końcu czy czasami mój serwer nie trafił na jakąś listę dla spamerów.Cholera zaczęło się dzisiaj 4 minuty po północy, i od tamtej pory chcieli przesłać przez serwer kilkaset maili (lub nawet kilka tysięcy, nie chce mi się liczyć).
W logu mam za dużo IP żeby się bawić w jakiekolwiek blokowanie. Póki co zatrzymałem serwer poczty, w sumie i tak nie jest mi za bardzo potrzebny - założyłem sobie jedno konto do którego mam dostęp po sieci lokalnej, dzięki czemu poczta się szybko odbiera.

Tych spamerów nie obchodzi jakoś to, że każdy z nich dostaje komunikat błędu "Relay Not Allowed", walą mimo to cały czas.
Na razie jedyną akcją jaką podjąłem jest zbieranie logów, nie wiem co z nimi zrobię ale być może postawię witrynkę i powystawiam na niej adresy IP tych spamerów, po czym każdemu z nich wyślę maila żeby sobie na nią zajrzał. Może to zniechęci co poniektórych (z logów wynika że jest ich kilkudziesięciu, chyba że potrafią zafałszować swoje IP).

Żeby tak można było coś do nich wysłać! U mnie adresy nadawcy są fikcyjne...
Jeszcze ciekawostka z logów - nie wiem, czy to sposób na niektóre serwery pocztowe?
16:09:54.37 5 SMTPI-00742([63.233.148.139]) inp: MAIL FROM:<stylist73@earthlink.net>
16:10:24.85 5 SMTPI-00742([63.233.148.139]) out: 250 stylist73@earthlink.net sender accepted\r\n
16:10:25.68 5 SMTPI-00742([63.233.148.139]) inp: RCPT TO:<724=217.98.203.86=63.233.148.139=@[63.233.148.139]>
16:10:25.68 1 SMTPI-00742([63.233.148.139]) Recipient 724=217.98.203.86=63.233.148.139=@[63.233.148.139] rejected: prohibited. We do not relay
16:10:25.68 5 SMTPI-00742([63.233.148.139]) out: 571 724=217.98.203.86=63.233.148.139=@[63.233.148.139] prohibited. We do not relay\r\n
16:10:29.88 3 SMTPI-00742([63.233.148.139]) read failed. Error Code=connection closed by peer
16:10:29.88 4 SMTPI-00742([63.233.148.139]) aborting connection
Chodzi o tą linię inp: RCPT

A kto mówi o odsyłaniu czegoś do spamerów... Wysyłałem maile do adminów serwerów z których te szity do mnie przylazły. W nslookup sprawdzam sobie ip nadawcy, i zwykle znajduję chociażby DNS w którym ten IP ma jakiś wpis. To już zawsze jakiś punkt zaczepienia, można skontaktować się np. z adminem DNSa.

Ciekawa sprawa! Jak poblokowałem na firewallu najbardziej aktywnych spamerów (stałe IP) to po kilku dniach dali sobie spokój (dałem zapisywanie prób w logach - teraz jest czysto). Wygląda na to, że jak znajdą dziurawy serwer poczty, to dają sobie o tym znać, ale jak dziury są już załatane, to sobie odpuszczają!

Na 100% tak właśnie jest. Ja wyłączyłem serwer poczty na parę dni, po ponownym włączeniu było przez dwa dni wszystko ok trzeciego znowu fala spamu, ale gdzieś 10 razy mniejsza niż wcześniej. Akurat był to jeden gostek, zgłosiłem do abuse i od tamtej pory cisza.
Pewnie te śmieciarze mają gdzieś jakieś listy dyskusyjne albo coś, gdzie wymieniają się adresami dziurawych MXów.
Od tej pory nigdy nie włączę relayowania, przynajmniej nie na tej wersji eXtremaila. Nowsza 1.5.4.r1 ma funkcję SMTP Authorize i POP before SMTP, więc można pozwolić na relayowanie znanym użytkownikom.

Ja jestem od tej pory bezlitosny dla spamerów. Każdy podejrzany IP notuję w specjalnym zeszycie, trzykrotne wystąpienie i wysyłam maila do abuse albo admina odpowiedniego serwera.
Na pewno gdyby każdy tak robił to te śmieciarze mieliby utrudnione życie.
Założę się że gdy kilka osób zgłosi jednego gostka gdzie trzeba to wtedy takiemu śmieciarzowi założą jakieś konsekwencje.

"alienvp" napisał do mnie wiadomość:

Ponieważ temat może zainteresować jeszcze kogoś odpisuję na forum.
Jeżeli chodzi o zapis w logach - blokując konkretne IP komendą ipfwadm -I -i deny -S adres_IP trzeba dodać opcję -o która spowoduje, że każda próba połączenia z tego IP z twoim serwerem zostawi ślad w logach.
Co do "znikających" logów po restarcie - logi tworzone są w RAM-ie, dlatego kasuja się po restarcie. Można je skopiować na HDD - przy zamknięciu freesco wykonywane jest rc-user - sekcja z komendą echo -n "Stopping rc_user...". Jeżeli stworzymy sobie katalog, np: /mnt/router/logi i w sekcji o której mówiłem dodamy cp /var/log/log /mnt/router/logi/log to po restarcie możemy odczytać stary log. Można też wpisać to w ATD i robić to np co godzinę - wtedy nawet wyłączenie prądu będzie niestraszne.

Jest łatwiejszy sposob:
1 w setupie ustawiasz odpowiedni maksymalny rozmiar logu na np. 32MB
2 w katalogu /mnt tworzysz katalog /log
3 w pliku /mnt/etc/syslog.conf znieniasz:

auth.* /dev/tty4
auth.* /mnt/log/login

*.* /dev/tty3
*.* /mnt/log/log # log bedzie zapisywany w pliku log w katalogu mnt czyli na dysku.

Faktycznie - to załatwienie sprawy "od podstaw". Ale czy będzie wtedy działał panel admina (wyświetlanie logów)?

Nie, musisz zmienic w /wwa/cgi/usr.cg wpisy /var/log na /mnt/log:

log*) ttl; cat /mnt/log/$QUERY_STRING.1 2>/dev/null
echo
cat /mnt/log/$QUERY_STRING 2>/dev/null | sed "s/</\&lt\;/g;s/>/\&gt\;/g"
echo
end;;
Mniej wiecej