Спам атака на почтовые сервера 28.01.2009

[nixsupport]

Кто нибудь фиксирует спам атаку на почтовые сервера сегодня 28.01.2009 примерно с 09:30 по москве с постоянным возрастанием?
У меня на нескольких почтовых серверах в одно и тоже время наблюдается одна и таже картинка, а именно не резкий а плавный рост соединений.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

у меня все пучком, отлупов не особенно больше

[Владимир]

проглядел все сервера, как был объем , так и остался, т.е. никакого увеличения.

[nixsupport]

а у меня вот такие графики, и походу сегодня опять атака будет продолжаться, причём на всех почтовых одинаковая картина.

[hizel]

видимо какаято адресная атако

[hizel]

у мя как-та ахтунг был, жалоался тут http://forum.lissyara.su/viewtopic.php? ... 103#p46103

[princeps]

у меня тоже все тихо

[nixsupport]

у меня тут мысля одна возникла, нуно цискаря потрести, он как раз помоему что то мутил с маршрутами, именно в этот момент, может конечно совпадение, но мысля имеет право на рассмотрение.

[Laa]

У меня идет атака. Подтверждаю.
Под 300 одновременных подключений... И прет и прет.
У меня почтовик особо отличившихся отбивает на стадии коннект-а, но тем не менее нагрузка стала заметной.

[Hrafn]

Есть такое... Сейчас уже вроде просралось...

[nixsupport]

У меня до сих пор продолжается таже картина.
На выходных всё тихо было нормально, а сегодня(в понеделник в рабочие часы) таже картина, причем нагрузку на сервер они не несут, на этапе коннекта откидываются, причем не по блеклистам, а видимо с плохими tcp пакетами идут.

[Laa]

У меня тоже на выходных было под 10-20, а сейчас TCP/IP connection count = 155 и до 200 доплывает.
Мне пока просто интересно сколько выдержит, а природа процесса не так важна, а что с этим сделать?
Отрабатывать надо, а-то лимитами ж можно задерживать полезную почту.

[nixsupport]

У меня вообще 1000 разрешено, при нормальных условиях днём 300 соединений, щас наблюдаю 800, причем еслиб они реально обрабатывались полностью у меня бы сервак загнулся. Так что они отбиваются на стадии подсоединения

[Alex Keda]

в Багдаде всё спокойно...

[Alex Keda]

Код: Выделить всё

mail# ps -auxww | grep exim | wc -l
     260
mail#   
mail# uptime
15:44  up 39 days,  6:14, 0 users, load averages: 0,09 0,27 0,29
mail#   

всё нормально. как всегда

[nixsupport]

у меня вот

Код: Выделить всё

newmail # ps ax|grep -c exim
695

newmail # uptime
 16:03:24 up 42 days,  3:26,  2 users,  load average: 2.36, 1.88, 1.19

При нормальных около 300 в день, ито при 300 в день у меня la по 6-10 бывает

[Alex Keda]

чё за тазик?
У меня двухголовый третий пень с 4 гигами рамы...

[nixsupport]

конкретно на этом серваке пень четвёртый с HT и два гига рамы.
но всё упирается в скорости винтов ну и рамы маловато, практически вся сьедается, ведь там ещё веб интерфейс, сервак 30 тыс ящиков обслуживает.

[Alex Keda]

HT вообще рекомендуют отключать.
gstat покажите...
посомтрим чё там с дисками

[nixsupport]

нее у меня линуха, с гипертредингом они вроде нормуль работают. ну а по дискам скорость маловата, ко всему прочему собран софтовый рейд, экономят млин хозяева.

[Alex Keda]

а при чём тут номуль не нормуль?
Если оно преимуществ не даёт - нафига оно нужно?
Его сделали от невозможности на том этапе развития технологии сделать полноценный двуядрёный процессор.
Сделали херню )

[nixsupport]

оно мне не мешает, пускай буит
по крайней мере тормозов не добавляет.

[mymymy]

молодой почтовик небольшого офиса с незасвеченным доменом и ip. Обнаружил сегодня в логах отчета спама больше обычного в 30 раз

Messages Mail rejection reason
2303 Rejected RCPT: "you in blacklist - cbl.abuseat.org
1575 Rejected RCPT: "you in blacklist - dnsbl-2.uceprotect.net
551 Rejected RCPT: "Host in blacklist - jp.countries.nerd.dk
224 Rejected RCPT: "No backresolv for your IP!"
103 Rejected RCPT: Unrouteable address
50 Rejected RCPT: "your hostname is bad (adsl, poll, ppp & etc)."
29 SMTP protocol synchronization error
21 Rejected RCPT: "you in blacklist - bl.spamcannibal.org
19 Rejected RCPT: "you in blacklist - dnsbl.njabl.org
4 Rejected EHLO: syntactically invalid argument(s)
4 Rejected HELO: syntactically invalid argument(s)
2 Rejected RCPT: "you in blacklist - bl.spamcop.net
1 Rejected RCPT: "can not be only number in HELO!"
1 Rejected RCPT: "main IP in your HELO! Access denied!"
1 Rejected RCPT: "you in blacklist - sbl-xbl.spamhaus.org

Плюс обнаружил у себя неприятный момент остановки самого сервиса в результате стопа сламава сразу после обновления в 4 утра:

Код: Выделить всё

ClamAV update process started at Tue Feb  3 04:00:00 2009
main.cld is up to date (version: 49, sigs: 437972, f-level: 35, builder: sven)
Downloading daily-8938.cdiff [100%]
Downloading daily-8939.cdiff [100%]
Downloading daily-8940.cdiff [100%]
Downloading daily-8941.cdiff [100%]
Downloading daily-8942.cdiff [100%]
Downloading daily-8943.cdiff [100%]
daily.cld updated (version: 8943, sigs: 66060, f-level: 38, builder: arnaud)
Database updated (504032 signatures) from database.clamav.net (IP: 130.59.10.36)
Clamd successfully notified about the update.

Код: Выделить всё

Tue Feb  3 06:44:50 2009 -> +++ Started at Tue Feb  3 06:44:50 2009
Tue Feb  3 06:44:50 2009 -> clamd daemon 0.94.2 (OS: freebsd6.2, ARCH: i386, CPU: i386)
Tue Feb  3 06:44:50 2009 -> Running as user clamav (UID 106, GID 106)
Tue Feb  3 06:44:50 2009 -> Log file size limited to 1048576 bytes.
Tue Feb  3 06:44:50 2009 -> Reading databases from /var/db/clamav
Tue Feb  3 06:44:50 2009 -> Not loading PUA signatures.
Tue Feb  3 06:44:50 2009 -> ERROR: Malformed database

выяснилась зависимость. В момент качания базы была волна спама и закачка захлебнулась. По крайней мере, время закачки баз и атаки совпадают.Выкачал базу заново, она нормально проинициализировалась и антивирус заработал..

[hizel]

кстати а у народа zen.spamhaus.org работает?
щитото он у мя даже не ресолвится

[Laa]

У меня работает.
Нареканий не вижу, но я и не рублю по нему, а используй как один из.
У меня резолвится:

Код: Выделить всё

$ host -t any zen.spamhaus.org
;; Truncated, retrying in TCP mode.
zen.spamhaus.org has SOA record need.to.know.only. hostmaster.spamhaus.org. 2009020349 3600 600 432000 600
zen.spamhaus.org name server x.ns.spamhaus.org.
zen.spamhaus.org name server t.ns.spamhaus.org.
zen.spamhaus.org name server 1.ns.spamhaus.org.
zen.spamhaus.org name server l.ns.spamhaus.org.
zen.spamhaus.org name server 3.ns.spamhaus.org.
zen.spamhaus.org name server r.ns.spamhaus.org.
zen.spamhaus.org name server o.ns.spamhaus.org.
zen.spamhaus.org name server y.ns.spamhaus.org.
zen.spamhaus.org name server b.ns.spamhaus.org.
zen.spamhaus.org name server g.ns.spamhaus.org.
zen.spamhaus.org name server q.ns.spamhaus.org.
zen.spamhaus.org name server a.ns.spamhaus.org.
zen.spamhaus.org name server d.ns.spamhaus.org.
zen.spamhaus.org name server s.ns.spamhaus.org.
zen.spamhaus.org name server i.ns.spamhaus.org.
zen.spamhaus.org name server 8.ns.spamhaus.org.
zen.spamhaus.org name server h.ns.spamhaus.org.
zen.spamhaus.org name server m.ns.spamhaus.org.
zen.spamhaus.org name server f.ns.spamhaus.org.
zen.spamhaus.org name server k.ns.spamhaus.org.
zen.spamhaus.org name server 0.ns.spamhaus.org.
zen.spamhaus.org name server c.ns.spamhaus.org.
zen.spamhaus.org name server 5.ns.spamhaus.org.