Inundação de tráfego na porta 25

tag-icon tag-icon smtp sendmail
Inundação de tráfego na porta 25

Estou recebendo milhares de acessos na porta 25, mais de 400.000 conexões por dia.

Estou usando as configurações padrão do sendmail no Debian 7. O Mailserver não está configurado.

Por favor, veja abaixo os logs de acesso do Nginx

root@zone:/usr/local/nginx/logs# tail access.log
61.231.81.100 - - [12/Sep/2013:23:56:46 +0530] "CONNECT 203.188.197.111:25 HTTP/1.0" 400 172 "-" "-"
61.231.82.166 - - [12/Sep/2013:23:56:46 +0530] "CONNECT 27.123.206.55:25 HTTP/1.0" 400 172 "-" "-"
61.228.19.219 - - [12/Sep/2013:23:56:46 +0530] "CONNECT 203.188.197.111:25 HTTP/1.0" 400 172 "-" "-"
61.231.83.31 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 114.34.96.143:25 HTTP/1.0" 400 172 "-" "-"
61.228.19.219 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 203.188.197.119:25 HTTP/1.0" 400 172 "-" "-"
61.231.82.166 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 27.123.206.55:25 HTTP/1.0" 400 172 "-" "-"
61.231.90.113 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 27.123.206.55:25 HTTP/1.0" 400 172 "-" "-"
61.231.84.210 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 203.188.197.111:25 HTTP/1.0" 400 172 "-" "-"
61.231.82.166 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 203.188.197.111:25 HTTP/1.0" 400 172 "-" "-"
61.231.87.39 - - [12/Sep/2013:23:56:47 +0530] "CONNECT 27.123.206.55:25 HTTP/1.0" 400 172 "-" "-"

Agora bloqueei toda a sub-rede do Nginx

deny 61.231.0.0/16;
deny 61.228.0.0/16;

Estou recebendo os logs de acesso abaixo:

tail access.log
111.241.32.138 - - [13/Sep/2013:01:12:02 +0530] "GET http://www.google.com.tw/ HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
111.241.32.138 - - [13/Sep/2013:01:12:02 +0530] "CONNECT mta7.am0.yahoodns.net:25 HTTP/1.0" 400 172 "-" "-"
184.75.210.226 - - [13/Sep/2013:01:12:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
61.231.2.232 - - [13/Sep/2013:01:12:38 +0530] "GET http://www.google.co.jp HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
61.231.2.232 - - [13/Sep/2013:01:12:39 +0530] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 400 172 "-" "-"
61.231.87.103 - - [13/Sep/2013:01:12:44 +0530] "GET http://www.google.com/intl/zh-CN/ HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
61.231.87.103 - - [13/Sep/2013:01:12:45 +0530] "CONNECT mta5.am0.yahoodns.net:25 HTTP/1.0" 400 172 "-" "-"
61.231.83.158 - - [13/Sep/2013:01:12:55 +0530] "GET http://www.google.com.tw HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
61.231.83.158 - - [13/Sep/2013:01:12:56 +0530] "CONNECT mx3.mail2000.com.tw:25 HTTP/1.0" 400 172 "-" "-"
61.228.22.143 - - [13/Sep/2013:01:13:09 +0530] "GET http://www.google.com/ HTTP/1.1" 403 570 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"

Sub-redes bloqueadas do iptables, parou de receber tráfego dessas sub-redes.

-I INPUT -s 61.231.0.0/16 -j DROP
-I INPUT -s 111.241.0.0/16 -j DROP
-I INPUT -s 61.228.0.0/16 -j DROP
 tail access.log
78.40.124.16 - - [13/Sep/2013:02:53:39 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
67.205.67.76 - - [13/Sep/2013:02:54:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
46.165.195.139 - - [13/Sep/2013:02:55:39 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
46.165.195.139 - - [13/Sep/2013:02:55:40 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
174.34.162.242 - - [13/Sep/2013:02:56:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
123.125.71.114 - - [13/Sep/2013:02:56:44 +0530] "GET / HTTP/1.1" 200 8553 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
220.181.108.153 - - [13/Sep/2013:02:56:55 +0530] "GET / HTTP/1.1" 200 23153 "-" "Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
95.141.32.46 - - [13/Sep/2013:02:57:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
95.211.217.68 - - [13/Sep/2013:02:58:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"
91.109.115.41 - - [13/Sep/2013:02:59:38 +0530] "GET / HTTP/1.1" 200 8078 "-" "Pingdom.com_bot_version_1.4_(http://www.pingdom.com)"

Eu acho que alguém está usando o nome de host ou IP do meu servidor como SMTP?
Sugira uma solução permanente para resolver esse problema, pois como este é o site do Cliente e tem acesso global, o usuário real que acessa o site da mesma sub-rede pode ser afetado.

Como posso parar com isso?

Responder1

Na verdade, você não está recebendo tráfego na porta 25, mas na porta 80, por meio do seu servidor web.

Este tráfego está tentando usar seu servidor como proxy para disfarçar a origem do tráfego. Geralmente chamamos esses servidores de proxies abertos e eles são bastante úteis para entregar spam e conduzir ataques a outros sites.

Por alguma razão, algumas pessoas parecem pensar que o seu endereço IP possui um servidor proxy aberto, mas as entradas de log mostram que as solicitações estão sendo recusadas.

Se o volume de solicitações for muito alto, sugiro proteger os blocos de endereços IP com firewall, em vez de simplesmente negá-los no nginx. Por exemplo:

iptables -I INPUT -s 61.231.0.0/16 -j DROP

informação relacionada