maks131313

атака Directory Harvest Attack ложит все ВПС, защиты нет

Здравствуйте! не могу справится с атакой на сервер путем отправки тысяч сообщений на несуществующие почты моих доменов, сервер испытывает нагрузку и все работает очень медленно или даже что то перестанет работать, к примеру сервер баз данных просто отключается, в итоге все сайты не работают

пример лога /var/log/exim4/mainlog

2024-02-06 13:07:24 H=([124.89.116.178]) [124.89.116.178] F=\ rejected RCPT : Unknown user 

2024-02-06 13:07:24 H=([124.89.116.178]) [124.89.116.178] F=\ rejected RCPT : Unknown user

 2024-02-06 13:07:24 H=([124.89.116.178]) [124.89.116.178] F=\ rejected RCPT : Unknown user

 2024-02-06 13:07:28 H=93-86-60-227.static.isp.telekom.rs [93.86.60.227] F=\ rejected RCPT : Unknown user

 2024-02-06 13:07:28 H=93-86-60-227.static.isp.telekom.rs [93.86.60.227] F=\ rejected RCPT : Unknown user

 2024-02-06 13:07:28 H=93-86-60-227.static.isp.telekom.rs [93.86.60.227] F=\ rejected RCPT : Unknown user

в логе миллионы строк c разных ip, по гео заблокировать не реально страны разные, по подсети тоже. Пробовал вручную отбирать ip и блокировать, просидел сутки, но у них миллионы адресов. вот только за пол часа

92.118.39.240 194.55.186.130 194.55.186.231 193.222.96.100 193.222.96.141 193.222.96.23 200.50.143.210 116.228.57.126 220.173.37.241 178.217.64.235 61.145.111.206 77.240.33.87 85.237.57.200 41.216.84.18 170.78.232.61 217.72.125.172 101.231.247.210 189.8.125.130 175.203.245.102 210.56.26.114 43.230.199.130 2.57.219.14 124.167.20.84 38.53.131.65 27.72.41.165 42.112.21.207 220.180.171.185 114.108.127.188 218.156.1.212 96.65.211.250 185.206.201.141 221.163.227.238 24.247.68.114 122.180.144.40 110.227.215.90 84.238.27.103 91.218.160.238 27.122.62.186 122.166.56.111 125.72.254.83 189.53.85.222 51.68.230.153 122.166.220.147 110.42.213.157 103.6.122.14 110.175.220.250 188.32.94.222 60.247.92.186 223.84.251.73 38.49.182.103 98.156.31.154 128.199.91.244 103.253.209.51 91.202.230.214 122.160.53.132 222.128.28.202

тех поддержка ispmanager огорчила и сказала нет у них никакой защиты на этот случай, цитирую ответ из тикета 11145877:

"Описанная вами атака больше похожа на Directory Harvest Attack - эта атака сбора каталога, метод, используемый спамерами при попытке найти действующие адреса электронной почты в домене с помощью перебора. В панели не предусмотрены специальных средств для борьбы с этим типом атаки.  Рекомендую вам обратиться к профильному специалисту по инфобезопасности или на тематические форумы"

Профильные специалисты от хостеров (у меня много впс на разных хостингах), тоже не знают что делать.

Получается, так можно убить любой впс в данный момент, защиты нет вообще никакой! (отключение exim4 для меня не вариант, товар клиентам доставляется почтой). Такая история не на одном моем ВПС, а на большинстве, возможно у всех идет повышенная нагрузка в данный момент, проверьте логи /var/log/exim4/mainlog

Нужно какое то решение, к примеру:

1. автоматически блокировать ip который два раза шлет на несуществующий почтовый адрес

2. запретить перебор ящиков.

 ПОМОГИТЕ КТО ЗНАЕТ! ЧТО ДЕЛАТЬ? Поддержку ispmanager прошу внести этот вопрос в разработку

10.02.2024 06:10

5
Добавлено в бэклог
Олеся

У меня тоже такая проблема. Сейчас слабое место это exim4. Нагрузка растет, нужно повышать тариф, но после этого атака увеличивается

11.02.2024 08:33

Mary K

Здравствуйте, 

Благодарю за обратную связь. Подумаем что можно сделать.

12.02.2024 05:01

Борис Игнатов

да проблема эта у всех сейчас. От ботов сайты мы защитили, но стали почтовый сервер долбить. Это делается даже не с целью собрать почтовые ящики, это что бы ддоснуть сервер. У меня ВПсы на Intel Xeon E5 2698 лежат )  на i9-9900K   держится с высокой нагрузкой

13.02.2024 08:54