Abwehr des Botnets PushDo/Cutwail (EHLO ylmf-pc) mit IPTABLES String Recent SMTP

Abstract

In letzter Zeit wurden unsere Postfix-Logs von Meldungen mit dem EHLO-String ylmf-pc überschwemmt, verursacht durch das PushDo/Cutwail-Botnet. Die hier gezeigte Lösung besteht darin, nun schon auf Firewall-Ebene zu filtern.

In letzter Zeit wurden unsere Postfix-Logs von Meldungen mit dem EHLO-String ylmf-pc überschwemmt, verursacht durch das Botnet PushDo/Cutwail …

Continue reading

Botnet-Angriffe mit rsyslog und iptables recent module abwehren

Abstract

fail2ban gilt gemeinhin als das Werkzeug der Wahl, wenn Botnet-Dronen davon abgehalten werden sollen, alle eingehenden SMTP-Verbindungen eines SMTP-Servers (DoS-Attacke) zu sättigen. Ich musste erleben, dass fail2ban zu langsam ist, und fand eine einfache, elegante und vor allem sehr performante Lösung.

fail2ban gilt gemeinhin als das Werkzeug der Wahl …

Continue reading