spamメールが来るので、、、
Friday, October 19, 2007
いつ、バレタのかわからないが、SPAMメールがくるくる。
で、POSTFIXのmain.cfに設定してみた。
smtpd_client_restrictions =
sleep 10, reject_unauth_pipelining
smtpd_delay_reject = no
マニュアルに書いてある例では、sleep 1 なんだけど頭にきて、sleep 10にした。
設定の意味は、
25番ポートに接続して、10秒間待たせてから、レスポンスを返す。
10秒以内に、heloでも、なんでも、コマンド打ってきた奴は、受け付けない。
てなことで、これで、ゾンビPCからのメールは防げることがあるみたい。
少なくとも、大量にSPAMするプログラムがシングルスレッドでインプリしてるような
奴だったら、10秒も待つの嫌だろうけど、、、ま、どうだろな。
smtpd_error_sleep_time = 30
ええっと、postfixはデフォルトで、10回以上コマンドエラーを起こした相手には、
それ以降、コマンドの返答を1秒待ってからする、っていうようになってるみたいで、
これを30秒にしてみた。
vrfyコマンド(メールアドレスが存在するか調べる)を大量に打ってくるおかげで、メールアドレスがばれた可能性もあるので、なんとなく設定してみた。
ブラックリストを見る設定はできればしたくないので、これでどれぐらい防げるか、しばらく様子をみる。
ちなみに、SPAMメールみてたら、ブラックリストでは防げないメールがそこそこ来てる、というのもあるが。
後日談:(といいつつ10分後だけど)
本ブログの通知メールのsmtpレスポンスが、5秒になってたので、10秒じゃダメジャン。で3秒にした。
後日談2:(翌日の朝8時)
ぜーんぜん、SPAMが減らないし、この設定が効いたようなログもなし。
結局ブラックリスト使うことにした。
smtpd_client_restrictions = permit_mynetworks,
reject_rbl_client all.rbl.jp,
reject_rbl_client bl.spamcop.net,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl-xbl.spamhaus.org,
permit
で、POSTFIXのmain.cfに設定してみた。
smtpd_client_restrictions =
sleep 10, reject_unauth_pipelining
smtpd_delay_reject = no
マニュアルに書いてある例では、sleep 1 なんだけど頭にきて、sleep 10にした。
設定の意味は、
25番ポートに接続して、10秒間待たせてから、レスポンスを返す。
10秒以内に、heloでも、なんでも、コマンド打ってきた奴は、受け付けない。
てなことで、これで、ゾンビPCからのメールは防げることがあるみたい。
少なくとも、大量にSPAMするプログラムがシングルスレッドでインプリしてるような
奴だったら、10秒も待つの嫌だろうけど、、、ま、どうだろな。
smtpd_error_sleep_time = 30
ええっと、postfixはデフォルトで、10回以上コマンドエラーを起こした相手には、
それ以降、コマンドの返答を1秒待ってからする、っていうようになってるみたいで、
これを30秒にしてみた。
vrfyコマンド(メールアドレスが存在するか調べる)を大量に打ってくるおかげで、メールアドレスがばれた可能性もあるので、なんとなく設定してみた。
ブラックリストを見る設定はできればしたくないので、これでどれぐらい防げるか、しばらく様子をみる。
ちなみに、SPAMメールみてたら、ブラックリストでは防げないメールがそこそこ来てる、というのもあるが。
後日談:(といいつつ10分後だけど)
本ブログの通知メールのsmtpレスポンスが、5秒になってたので、10秒じゃダメジャン。で3秒にした。
後日談2:(翌日の朝8時)
ぜーんぜん、SPAMが減らないし、この設定が効いたようなログもなし。
結局ブラックリスト使うことにした。
smtpd_client_restrictions = permit_mynetworks,
reject_rbl_client all.rbl.jp,
reject_rbl_client bl.spamcop.net,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl-xbl.spamhaus.org,
permit
コメント#212
気まぐれで久しぶりに gakitama をがんばっていたずらしようと思います。
一応管理人様の了承済み?
■概要
・どんな *汚い手* を使ってでもサーバを落としにかかる
・いたずら対象は公開しているWebコンテンツからMailサーバにいたる全部
・いろいろな方が見ていますのでblogのコメント欄を荒らすのはやめます
(大量の添付ファイル付きspamメールを送りまくったりとかはするかも・・・)
■期間
・11/1 ~ 11/15でどうでしょか。
■合言葉
・DOS攻撃も持さない、というかやります。一回他人にやってみたかったんですよ、、、
・ハンドルネームはだてじゃない
|とおりすがりのScript Kiddie|
Thu,Oct-25 00:01|
コメント#213
ほ、ほーい。
ちゃんと、いじめてね。
いや、でもさあー、DOS攻撃は、一発で決めないと、かっこ悪いと思うけど(笑)。
期間的にはいつでもいいよ。
実は、コンテンツ的なセキュリティホールはあるんだけどど、面倒だから、直してないという現状はあります。これ、見つけられたら、偉いけど、、、!
|たなかM|
Thu,Oct-25 00:33|
コメント#214
あ、ちなみに、今のpostfixの設定は、こんな感じだよ。
smtpd_client_restrictions = permit_mynetworks,
sleep 3, reject_unauth_pipelining,
reject_rbl_client all.rbl.jp,
reject_rbl_client bl.spamcop.net,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_unknown_client,
permit
smtpd_delay_reject = no
smtpd_error_sleep_time = 30
意図的には、VRFYコマンドは、10回(デフォルト)以上試したら、後は30秒待たされる。
接続するのには3秒かかる。
ま、DOS攻撃で、俺のサーバーにメール届かなくするのは簡単だと思うけど、ちゃんとしたDOS攻撃してね(笑、or,愛してるよー)
|たなか|
Thu,Oct-25 00:42|
コメント#215
> 期間的にはいつでもいいよ。
とりあえずかたならしに脆弱性スキャナーでスキャンしてみた。
対象: www.gakitama.com
■Scan time
Start time : Fri Oct 26 00:12:03 2007
End time : Fri Oct 26 00:46:57 2007
■Number of vulnerabilities :
Open ports : 4
Low : 13
Medium : 1
High : 0
■Information about the remote host :
Operating system : (unknown)
NetBIOS name : (unknown)
DNS name : www.gakitama.com.
Mediumの1件をコピペしてみた。
-----------------------------
Synopsis : Debugging functions are enabled on the remote HTTP server.
Description :
The remote webserver supports the TRACE and/or TRACK methods. TRACE
and TRACK are HTTP methods which are used to debug web server
connections.
In addition, it has been shown that servers supporting the TRACE
method are subject to cross-site scripting attacks, dubbed XST for
"Cross-Site Tracing", when used in conjunction with various weaknesses
in browsers. An attacker may use this flaw to trick your legitimate
web users to give him their credentials.
-----------------------------
|とおりすがりのScript Kiddie|
Fri,Oct-26 00:57|
コメント#216
攻撃受けた。
メールが921通きたよ。
件名がこんなメール
[gakitama_web][nessus][/etc/passwd]nessus とか
[gakitama_web][][]' OR 1=1)
とか、
ええっと、メールフォーム
http://www.gakitama.com/mail/kanrinin_mail.htm
で、こんな攻撃しても、意味ないぞー(笑)
せめて、あなたのメールアドレスのところで、<CR><LF>を入れてそのあと、ヘッダを続けるとかさあ、、、ま、それでも、大丈夫だと思うけど。
|たなか|
Fri,Oct-26 19:59|
コメント#217
とか書いてたら、ここに敗北の、足音発見!
http://www.gakitama.com/nipple_shimekata/peex.php?mode=result
作者に連絡してくれー
もしくは、使い方間違ってるかな?
|たなか|
Fri,Oct-26 20:08|
コメント#218
>ええっと、メールフォーム
>http://www.gakitama.com/mail/kanrinin_mail.htm
>で、こんな攻撃しても、意味ないぞー(笑)
なんて言われると余計攻撃しちゃいたくなるんですよねー
といってもとくに攻撃の余地はなさそうかも。
リダイレクト先をSUCCESSURLという変数でPOSTする仕様みたいですが
入力値で <CR><LF>とかのチェックをしていないみたいのは、ただの手抜き、、、
ではなくて必要ないから何もしなかったのですか。
PHPの4.4.2 および 5.1.2から「HTTP レスポンス分割攻撃」ができなくなっちゃので
どうでもいいんですけどね。
まあ、こんなWarningはでましたよ
> Warning: Header may not contain more than a single header, new line detected. in /usr/home/tanaka/docs-http/mail/kanrinin_mail.php on line 21
|とおりすがりのScript Kiddie|
Sun,Oct-28 21:50|
コメント#219
リダイレクト先のPOSTの件は、手抜きです。
メールフォームなので、自分をいじめるしかできない、と思ってるんですけど、だめ?
で、HTTPレスポンス分割攻撃ってのがあるんだ、、、
いろいろと調べてみたら、キャッシュの属性を変えて送って、proxyなんかで、人のデータ盗む、ってな攻撃もあるみたいですね。
|たなか|
Tue,Oct-30 05:52|
コメント#220
<メモ>
OSがRedHat linux ES WS4 で *うっかり* MBR(パーティション情報?)を消して
しまった場合の対処方法。
注: ネタですので本気にしないでください
1. まったく同じ容量のHDDに上記OSをインストール
2. マシンにHDDが2本ささる場合は、もう片方に復旧したいHDDを装着する
3. CDからlinuxをbootさせる
1.でOSを入れたHDDを/dev/sda、復旧したいHDDを/dev/sdbと認識されたとする
3. 以下のコマンドをたたいてみる
# dd if=/dev/sda of=/dev/sdb bs=512 count=1
# dd if=/dev/sda1 of=/dev/sdb1
4. sdbとして認識されていたHDDで起動してみる
あーら不思議、ちゃんと起動するよ
これでいいのかよ。。。
|とおりすがりのScript Kiddie|
Fri,Nov- 2 20:20|
コメント#221
おめっとさん。週末は休めますね。
っと、、、直らなくても休むよね。
ネタですので本気にしないでください
|たなか|
Fri,Nov- 2 20:38|
コメント#222
にげましたねーーー。。。
あまりのうざさにルータを閉じましたか?
|とおりすがりのScript Kiddi|
Sat,Nov-10 20:00|
コメント#223
ログみてたら、bounce メールを出し始めたみたいだったので(届いてる?)、中継に使わせてもらってるプロバイダのメールサーバーーと、hotmailさんに目を付けられるのが嫌で、一時的にLAN抜いて、spoolも消してから、立ち上げなおしました。
ええっと、メールボックスを512Mまでに増やしたので、その範囲でやってください(笑)
では。
|たなか|
Sat,Nov-10 20:27|
コメント#224
サーバ落とすの無理ぽいかも、、、
ちなみにウィルスメールと8MB位のメールを1万通ずつ送るつもりでした。
メールスプールが一杯になる前に、高負荷で落ちると思ったんだけど甘かったなー。さて、どうしたものやら。
> ログみてたら、bounce メールを出し始めたみたいだったので(届いてる?)
みたら6030 通のメールが届いてました。あはは
> 中継に使わせてもらってるプロバイダのメールサーバーーと、hotmailさんに目を付けられるのが嫌で
ブラックリストに登録させるための嫌がらせとしては、これっていい手かも
|とおりすがりのScript Kiddi|
Sun,Nov-11 00:07|
コメント#225
おそらく、、、ですけど、postfix君にしても、
メール本文受け取ってから、250 OKの応答を返して、それから、
RCPT TO:の人たちにメールを配ろうとするんだから、
この時点で、500番代(受け取れないよー)とか、400番代のエラー(今は受け取れねので、後で送れ)を返すのは、無理というか、smtpのポリシーからも外れてしまうんでしょーね。
RCPT TOの全員のメールボックス容量を確かめるのも変な話だし、攻めるほうからしたら、abuseとか、postmasterとか、をCCに加えて送れば、簡単に回避できちゃうので。
もちろん、.forwardとか設定して、正当に中継する機能もあるので、なおさら無理。
|たなか|
Sun,Nov-11 00:33|
コメント#226
落ちろーーーーーーー。。。といっても落ちないよなー。
SYN Flooding, LanD Attack , xmas attackなどなどいろいろ試したけど
一時的に応答不能になるだけで回復しちゃうんだよねー。
そもそもネットワークの知識がないから、ACKやらSYNやらなんだかよくわからずにツール使って攻撃しているところがイケてないよなー、と自己分析してみた。
まあ、今回はツール使って攻撃が趣旨だからいいんだけどね。
さすがFreeBSD、、、って、違うか。
|とおりすがりのScript Kiddie|
Sun,Nov-11 23:44|
コメント#229
> とか書いてたら、ここに敗北の、足音発見!
> http://www.gakitama.com/nipple_shimekata/peex.php?mode=result
>
> 作者に連絡してくれー
> もしくは、使い方間違ってるかな?
約束の15夜が過ぎたので、この件は、穴、ふさぎました。
といっても、手抜きのプログラム修正で、多分、新規アンケート追加したら、うごかなくなるけど、ま、新規アンケートを、追加する気ないし。
でも、mediumの、TRACKと、TRACEは、変更する気ないけど、、、ダメかな?
あと、httpが応答できなくなったのは、apacheのプロセス数とか同時接続数とか、メモリーが少ない私としては、絞ってるので、私が、DVDファイルをダウンロード中は、ペンディングになってるリクエストが多かったからだと思います。
(サーチエンジンからは、とめどなく、来るし、クライアントからの同時リクエスト数(多分RFCでは、2以上は、やめとけ、という規約じやなかったっけ)を守らないクライアントも、多いので。
|たなか|
Wed,Nov-21 20:00|
コメントする
トラックバック
この記事へのトラックバックURL:
これまでに受信したトラックバックはありません。