Abwehr des Botnets PushDo/Cutwail (EHLO ylmf-pc) mit IPTABLES String Recent SMTP

In letzter Zeit wurden unsere Postfix-Logs von Meldungen mit dem EHLO-String ylmf-pc überschwemmt, verursacht durch das Botnet PushDo/Cutwail .

Im Log sieht das folgendermaßen aus:

mail postfix/postscreen[23406]: PREGREET 14 after 0.3 from [x.x.x.x]:3677: EHLO ylmf-pc\r\n

Das Postscreen-Programm von Postfix wehrt den …

Continue reading

Botnet-Angriffe mit rsyslog und iptables recent module abwehren

fail2ban gilt gemeinhin als das Werkzeug der Wahl, wenn Botnet-Dronen davon abgehalten werden sollen, alle eingehenden SMTP-Verbindungen eines SMTP-Servers (DoS-Attacke) zu sättigen. Das Tool verfolgt Fehlermeldungen im LOG des Mailservers und blockt ab einer bestimmten Anzahl von Fehlern die IP des Botnet-Clients.

Auf normal belasteten Servern funktioniert das gut, es …

Continue reading