Спам атака на почтовые сервера 28.01.2009

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-01-28 17:22:02

Кто нибудь фиксирует спам атаку на почтовые сервера сегодня 28.01.2009 примерно с 09:30 по москве с постоянным возрастанием?
У меня на нескольких почтовых серверах в одно и тоже время наблюдается одна и таже картинка, а именно не резкий а плавный рост соединений.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение hizel » 2009-01-28 17:39:30

у меня все пучком, отлупов не особенно больше
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Владимир
сержант
Сообщения: 235
Зарегистрирован: 2008-07-30 13:46:15
Откуда: Республика Молдова, г. Кишинев
Контактная информация:

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Владимир » 2009-01-29 10:55:43

проглядел все сервера, как был объем , так и остался, т.е. никакого увеличения.

nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-01-29 11:56:26

а у меня вот такие графики, и походу сегодня опять атака будет продолжаться, причём на всех почтовых одинаковая картина.
Вложения
4.jpg
поднемной график сервера номер 2
3.jpg
суточный график сервера номер 2
2.jpg
подневной график сервера номер 1
1.jpg
суточный график сервера номер 1

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение hizel » 2009-01-29 12:11:28

видимо какаято адресная атако :)
Вложения
spam.png
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение hizel » 2009-01-29 12:13:18

у мя как-та ахтунг был, жалоался тут http://forum.lissyara.su/viewtopic.php? ... 103#p46103
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение princeps » 2009-01-29 12:15:42

у меня тоже все тихо
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-01-29 12:21:26

у меня тут мысля одна возникла, нуно цискаря потрести, он как раз помоему что то мутил с маршрутами, именно в этот момент, может конечно совпадение, но мысля имеет право на рассмотрение.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Laa » 2009-01-29 15:45:56

У меня идет атака. Подтверждаю.
Под 300 одновременных подключений... И прет и прет.
У меня почтовик особо отличившихся отбивает на стадии коннект-а, но тем не менее нагрузка стала заметной.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Hrafn
сержант
Сообщения: 239
Зарегистрирован: 2007-08-18 15:25:57
Откуда: Питер
Контактная информация:

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Hrafn » 2009-01-29 16:33:22

Есть такое... Сейчас уже вроде просралось...

nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-02-02 15:05:14

У меня до сих пор продолжается таже картина.
На выходных всё тихо было нормально, а сегодня(в понеделник в рабочие часы) таже картина, причем нагрузку на сервер они не несут, на этапе коннекта откидываются, причем не по блеклистам, а видимо с плохими tcp пакетами идут.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Laa » 2009-02-02 15:13:47

У меня тоже на выходных было под 10-20, а сейчас TCP/IP connection count = 155 и до 200 доплывает.
Мне пока просто интересно сколько выдержит, а природа процесса не так важна, а что с этим сделать? :-o
Отрабатывать надо, а-то лимитами ж можно задерживать полезную почту. :(
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-02-02 15:40:10

У меня вообще 1000 разрешено, при нормальных условиях днём 300 соединений, щас наблюдаю 800, причем еслиб они реально обрабатывались полностью у меня бы сервак загнулся. Так что они отбиваются на стадии подсоединения

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Alex Keda » 2009-02-02 15:44:02

в Багдаде всё спокойно...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Alex Keda » 2009-02-02 15:46:38

Код: Выделить всё

mail# ps -auxww | grep exim | wc -l
     260
mail#   
mail# uptime
15:44  up 39 days,  6:14, 0 users, load averages: 0,09 0,27 0,29
mail#   
всё нормально. как всегда
Убей их всех! Бог потом рассортирует...

nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-02-02 16:05:15

у меня вот

Код: Выделить всё

newmail # ps ax|grep -c exim
695

newmail # uptime
 16:03:24 up 42 days,  3:26,  2 users,  load average: 2.36, 1.88, 1.19

При нормальных около 300 в день, ито при 300 в день у меня la по 6-10 бывает

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Alex Keda » 2009-02-02 22:10:43

чё за тазик?
У меня двухголовый третий пень с 4 гигами рамы...
Убей их всех! Бог потом рассортирует...

nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-02-02 22:31:34

конкретно на этом серваке пень четвёртый с HT и два гига рамы.
но всё упирается в скорости винтов ну и рамы маловато, практически вся сьедается, ведь там ещё веб интерфейс, сервак 30 тыс ящиков обслуживает.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Alex Keda » 2009-02-02 23:37:18

HT вообще рекомендуют отключать.
gstat покажите...
посомтрим чё там с дисками
Убей их всех! Бог потом рассортирует...

nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-02-02 23:44:38

нее у меня линуха, с гипертредингом они вроде нормуль работают. ну а по дискам скорость маловата, ко всему прочему собран софтовый рейд, экономят млин хозяева.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Alex Keda » 2009-02-02 23:52:39

=)
а при чём тут номуль не нормуль?
Если оно преимуществ не даёт - нафига оно нужно?
Его сделали от невозможности на том этапе развития технологии сделать полноценный двуядрёный процессор.
Сделали херню =))
Убей их всех! Бог потом рассортирует...

nixsupport
рядовой
Сообщения: 32
Зарегистрирован: 2008-08-01 21:53:38

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение nixsupport » 2009-02-03 0:06:41

оно мне не мешает, пускай буит :)
по крайней мере тормозов не добавляет.

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение mymymy » 2009-02-03 6:33:36

молодой почтовик небольшого офиса с незасвеченным доменом и ip. Обнаружил сегодня в логах отчета спама больше обычного в 30 раз
Messages Mail rejection reason
2303 Rejected RCPT: "you in blacklist - cbl.abuseat.org
1575 Rejected RCPT: "you in blacklist - dnsbl-2.uceprotect.net
551 Rejected RCPT: "Host in blacklist - jp.countries.nerd.dk
224 Rejected RCPT: "No backresolv for your IP!"
103 Rejected RCPT: Unrouteable address
50 Rejected RCPT: "your hostname is bad (adsl, poll, ppp & etc)."
29 SMTP protocol synchronization error
21 Rejected RCPT: "you in blacklist - bl.spamcannibal.org
19 Rejected RCPT: "you in blacklist - dnsbl.njabl.org
4 Rejected EHLO: syntactically invalid argument(s)
4 Rejected HELO: syntactically invalid argument(s)
2 Rejected RCPT: "you in blacklist - bl.spamcop.net
1 Rejected RCPT: "can not be only number in HELO!"
1 Rejected RCPT: "main IP in your HELO! Access denied!"
1 Rejected RCPT: "you in blacklist - sbl-xbl.spamhaus.org
Плюс обнаружил у себя неприятный момент остановки самого сервиса в результате стопа сламава сразу после обновления в 4 утра:

Код: Выделить всё

ClamAV update process started at Tue Feb  3 04:00:00 2009
main.cld is up to date (version: 49, sigs: 437972, f-level: 35, builder: sven)
Downloading daily-8938.cdiff [100%]
Downloading daily-8939.cdiff [100%]
Downloading daily-8940.cdiff [100%]
Downloading daily-8941.cdiff [100%]
Downloading daily-8942.cdiff [100%]
Downloading daily-8943.cdiff [100%]
daily.cld updated (version: 8943, sigs: 66060, f-level: 38, builder: arnaud)
Database updated (504032 signatures) from database.clamav.net (IP: 130.59.10.36)
Clamd successfully notified about the update.

Код: Выделить всё

Tue Feb  3 06:44:50 2009 -> +++ Started at Tue Feb  3 06:44:50 2009
Tue Feb  3 06:44:50 2009 -> clamd daemon 0.94.2 (OS: freebsd6.2, ARCH: i386, CPU: i386)
Tue Feb  3 06:44:50 2009 -> Running as user clamav (UID 106, GID 106)
Tue Feb  3 06:44:50 2009 -> Log file size limited to 1048576 bytes.
Tue Feb  3 06:44:50 2009 -> Reading databases from /var/db/clamav
Tue Feb  3 06:44:50 2009 -> Not loading PUA signatures.
Tue Feb  3 06:44:50 2009 -> ERROR: Malformed database
выяснилась зависимость. В момент качания базы была волна спама и закачка захлебнулась. По крайней мере, время закачки баз и атаки совпадают.Выкачал базу заново, она нормально проинициализировалась и антивирус заработал..

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение hizel » 2009-02-03 15:04:33

кстати а у народа zen.spamhaus.org работает?
щитото он у мя даже не ресолвится :(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Спам атака на почтовые сервера 28.01.2009

Непрочитанное сообщение Laa » 2009-02-03 15:26:14

У меня работает.
Нареканий не вижу, но я и не рублю по нему, а используй как один из.
У меня резолвится:

Код: Выделить всё

$ host -t any zen.spamhaus.org
;; Truncated, retrying in TCP mode.
zen.spamhaus.org has SOA record need.to.know.only. hostmaster.spamhaus.org. 2009020349 3600 600 432000 600
zen.spamhaus.org name server x.ns.spamhaus.org.
zen.spamhaus.org name server t.ns.spamhaus.org.
zen.spamhaus.org name server 1.ns.spamhaus.org.
zen.spamhaus.org name server l.ns.spamhaus.org.
zen.spamhaus.org name server 3.ns.spamhaus.org.
zen.spamhaus.org name server r.ns.spamhaus.org.
zen.spamhaus.org name server o.ns.spamhaus.org.
zen.spamhaus.org name server y.ns.spamhaus.org.
zen.spamhaus.org name server b.ns.spamhaus.org.
zen.spamhaus.org name server g.ns.spamhaus.org.
zen.spamhaus.org name server q.ns.spamhaus.org.
zen.spamhaus.org name server a.ns.spamhaus.org.
zen.spamhaus.org name server d.ns.spamhaus.org.
zen.spamhaus.org name server s.ns.spamhaus.org.
zen.spamhaus.org name server i.ns.spamhaus.org.
zen.spamhaus.org name server 8.ns.spamhaus.org.
zen.spamhaus.org name server h.ns.spamhaus.org.
zen.spamhaus.org name server m.ns.spamhaus.org.
zen.spamhaus.org name server f.ns.spamhaus.org.
zen.spamhaus.org name server k.ns.spamhaus.org.
zen.spamhaus.org name server 0.ns.spamhaus.org.
zen.spamhaus.org name server c.ns.spamhaus.org.
zen.spamhaus.org name server 5.ns.spamhaus.org.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!