Dziś w formie ciekawostki lista adresów IP wyciągnięta z pola Received. Jest to tylko w formie informacji bez reguły. czemu? Ponieważ jest to wyłapany spam, napisanie reguły byłoby zabijaniem zabitego:) Oto lista .
188.68.251.178 178.251.68.188.in-addr.arpa domain name pointer sdc12smtp178.newsletter-hub.com. 185.70.36.63 63.36.70.185.in-addr.arpa domain name pointer smtp04.mailinstitute.pl. 188.68.251.162 162.251.68.188.in-addr.arpa domain name pointer sdc11smtp162.newsletter-hub.com. 94.152.193.121 121.193.152.94.in-addr.arpa domain name pointer 5221.niebieski.ne. 5.196.67.22 22.67.196.5.in-addr.arpa domain name pointer a2.s.novaskills.pl. 91.195.251.59 Host 59.251.195.91.in-addr.arpa. not found: 3(NXDOMAIN) 89.36.211.229 229.211.36.89.in-addr.arpa domain name pointer sa3.link-meter.com. 89.36.208.134 134.208.36.89.in-addr.arpa domain name pointer sa1.link-meter.com. 89.36.211.134 134.211.36.89.in-addr.arpa domain name pointer sa4.link-meter.com. 89.36.211.129 129.211.36.89.in-addr.arpa domain name pointer sa2.link-meter.com.
I widac jedna ciekawostkę. 94.152.193.121 odpowiada niebieski.ne a nie niebieski.net jak sie naprawdę nazywa. Można zauważyć duzo badziewia z domeny link-meter.com. Może na to kiedyś reguła i coś extra wpadnie? Zobaczymy:)
ja tam adres
94.152.193.
wpisamy mam do hosts.deny moga sobie zmieniac domeny jak rekawiczki a koncowki jak ogony
Ja wole do firewall lub SA. w za duzo miejsc wpisywac to pozniej za duzo miejsc do szukania:)
Z doświadczenia wiem, że blokowanie ip, czy ich całych klas nie zawsze jest dobrym pomysłem. Obecnie łącza są na tyle dużej przepustowości, ze spamować można i np. na neostradzie, która ma zmienne IP. Nie tylko NEO ma zmienne IP niestety. Dodatkowo dochodzą powstające i padające jak grzyby po deszczu Proxy. Zbyt wielką filozofią nie jest wyharvestować codziennie po kilkaset, czy nawet kilka tys takich aktywnych proxy i przez nie spamować. Możesz sobie wtedy wycinać IP ile dusza zapragnie, a i tak nie wiele to da.
Kiedy tak robiłem, że ciąłem całe klasy na firewallu, nawet całe kraje wycinałem takie jak Chiny, Indie, Rosję itp. czyli największych spamerów. Wycinałem dopóki się nie wycwanili inie zaczęła przychodzi znowu masa spamu. Obecnie Fail2Ban, Spamassassin, amavis, clamav załatwia większość śmieci. Z tym co jednak dociera da się żyć i łatwo można ciąć nowe rzeczy.
Takie jest moje zdanie.
zgadzam sie z Toba w pelni, po instalacji fail2ban ruch w logach bardzo zmalal
z obserwacji choby logow fail2ban wynika, ze sa to jednak ciagle te same adresy, u mnie „z kilkadziesiat” i po ich zablokowaniu – logi przyrastaja jeszcze wolniej, a fail2ban jakby nudzi sie
bez recznej listy, fail2ban co chwile cos zamykal i otwieral, kiedy spisalem te dresy do hosts.deny – moj fail2ban ma teraz 2-3 zapisy dziennie !
ps
mam 2 wlasne opracowane filtry na tinyproxy i na VRFY/EXPN dla sendmaila jesli sa zainteresowani
Tak, dlatego napisałem nie zawsze … Na prywatnym serwerze jak zablokujemy za dużo, to co najwyżej nie dostaniemy maila np. od kolegi z chin 🙂 na serwerze korporacyjnym, który prowadzi interesy z całym światem praktycznie, to może być niezła wtopa, gdy jakiś Rusek na przykład, chciałby zamówić kontener towaru od nas, a nie może się z nami skontaktować 🙂 Tutaj trzeba być naprawdę bardzo uważnym, do tego bardzo ciężko to potem upilnować. Przykład? jakiś spamer codziennie przez 2 tygodnie zasypuje nam skrzynkę syfem, więc my go ciach na firewallu i zapominamy od nim. Za 3-4 lata (to nie jest długi okres na ciągłe działanie serwerów korporacyjnych) adres IP już dawno nie należy do niego, tylko np. do jakiejś firmy, nie koniecznie w Polsce, o czym oczywiście nie wiemy. Firma chce się z nami skontaktować, a nie może :] Przypadek z własnego doświadczenia, gdzie spamer rozsyłał spam z serwerów na OVH,potem jego adres przejęła inna firma, który znalazł się na jej dedyku. Klient napisał z maila obsługiwanego przez jeden z publicznych, darmowych serwerów, z pretensjami co jest, że of nich maile nie dochodzą :] Dużo lepszym pomysłem, więc jest Fail2Ban z filtrem recidive i blokadą na nim, na np. 3 miesiące.
Ja ustawiam na 8h-24h. i sobie odnawia co dobę. Spam spada a w miarę aktualne adresy sa
Tak, wszystko zależy od specyfiki serwera 🙂 na serwerach o bardzo dużym ruchu pocztowym, które mają po kilkadziesiąt lub kilkaset skrzynek pocztowych dość aktywnie wykorzystywanych, te 24h na blokowanie może się okazać zbyt mało, gdyż zanim Fail2Ban dzięki filtrom z recidive zablokuje to wszystko na nowo, obciążenie takiego serwera pójdzie w kosmos. Niektórzy spamerzy wcale nie rezygnują jeśli ktoś ich zablokuje. Pewnie z braku chęci i własnego lenistwa, aby przesiewać na bieżąco swoje listy do spamowania ;] Ogólnie to recidive działa tak, że po określonej w pliku konfiguracyjnym ilości blokad na krótki czas w danej usłudze np. serwera pocztowego, zaczyna działać recidive blokując delikwenta na określony dla tego dodatku czas. Jak się już to wszystko ogarnie metodą prób i błędów dla danego serwera, aby zarówno nie utrudniać życia zwykłym internautom, a jak najbardziej utrudnić go spamerom to naprawde wszystko to fajnie działa. Pamiętajmy, że najczęściej blokowanie spamu nie jest jedyną rzeczą jaką blokujemy na Fail2Ban ale zazwyczaj jest to także SSH, jakieś ftpy, czasem apache i inne usługi.