DoS per Mail-Abfragen
Von: Helmut Hullen (helmut@hullen.de) [Profil]
Datum: 25.10.2009 16:38
Message-ID: <BBXRw47ESsB@helmuthullen.individual.de>
Newsgroup: de.comp.os.unix.networking.misc
Datum: 25.10.2009 16:38
Message-ID: <BBXRw47ESsB@helmuthullen.individual.de>
Newsgroup: de.comp.os.unix.networking.misc
Hallo alle miteinander, einer meiner Kollegen an einer Nachbarschule hat seit einigen Tagen das Problem, dass sein Linux-Server (an dem die ganze Schule - ausser der Verwaltung - hängt) anscheinend von draussen mit Anfragen zu/wegen Mail bombardiert wird; direktes Indiz (so seine Mitteilung auf dem Flur) war "irgendwas mit Cyrus". Die Schule hat 3 URLs; einer der URLs wurde in der Zwischenzeit per Firewall (wie auch immer) abgesichert, der Wegelagerer hat sich jetzt auf die beiden anderen umorientiert. Bei (grundsätzlich vergleichbaren) SSH-Scannern arbeite ich gern mit einer "iptables"-Regel, die inzwischen auch von der c't propagiert wird: <http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen- schuetzen--/artikel/142155/3> Da zieht aber der Scanner bisher stets zur nächsten Adresse weiter, wenn mein System ihn geblockt hat; damit ist in diesem Fall wohl nicht zu rechnen; sieht eher so aus, als ob dieser Wegelagerer sich speziell um diese eine Schule kümmert. Um Forensik und Strafrecht will ich mich in diesem Fall noch nicht kümmern - "dat krieje mer später" ... Gibt es ein simples Verfahren, das (ähnlich oder genauso wie das o.ä. c't-Verfahren) auch (z.B.) bei mehr als 4 E-Mail-Zugriffen in 60 Sekunden a) dichtmacht und b) die Adresse des Anrufers zwischenspeichert? Als Mailserver dürfte "postfix" laufen, aber da bin ich mir nicht sicher (und ich weiss auch nicht so recht, ob das in diesem Zusammenhang wichtig ist). Viele Gruesse Helmut "Ubuntu" - an African word, meaning "Slackware is too hard for me".[ Auf dieses Posting antworten ]
Antworten
- Rupert Haselbeck (25.10.2009 20:18)
- Bernd Hohmann (25.10.2009 23:59)
- Helmut Hullen (30.10.2009 08:12)
- Martin Schmitz (26.10.2009 00:01)