CBL

[nemsl]

Zdravim,

Každý den ráno koukám na http://mxtoolbox.com/blacklists.aspx a vidím svou IP 77.48.xxx.xxx zaříznutou na CLB a Spamhaus Zen, viz screeny níže.
V mikrotiku mám nastaveno drop forward na 38.102.0.0/16 a 104.244.0.0/16 (IP 38.102.150.27 a 104.244.14.252 na které chodí údajné útoky - taky screeny)

Využil jsem bezplatného 14ti denního posílání flow k hapimu, a tam v dané časy nejsou žádná taková spojení na tyhle IP..

Kód: Vybrat vše

/ip firewall filter add action=drop chain=forward comment="DROP NA MUJ BLACKLIST" dst-address-list=MUJ_BLACKLIST
add action=drop chain=forward comment="povoleni SMTP ven pouze pres zname srv" dst-address=!192.168.0.132 dst-port=25 log=yes log-prefix=smtpdrop_ protocol=tcp src-address=!192.168.0.132
/ip firewall address-list
 add address=38.102.0.0/16 list=MUJ_BLACKLIST
add address=104.224.0.0/16 list=MUJ_BLACKLIST
add address=94.254.0.0/16 list=MUJ_BLACKLIST
add address=104.244.0.0/16 list=MUJ_BLACKLIST


192.168.0.132 je místní SMTP

Jak bych měl postupovat?

[nemsl]

Hmhm, tak jsem na to přišel, on je tam UTC čas, ne CET, což je +2h, takže jsem to našel a jdu někoho zmlátit.

[nemsl]

No v podstatě jsem to bez netflow od hapiho nenašel..

[Macek]

Ahoj,
máme ve firmě stejný problém, každý den jsme na listu abuseat.org poradí mi někdo jaká nastavit ve firewallu pravidla aby blokovali tyto útoky? nebo pokud se to stalo někomu z Vás, jak jste to řešili? díky moc za pomoc

[nemsl]

Muzu sem v pondeli poslat konfig toho co mi tohlety sragory likviduje

[Macek]

Muzu sem v pondeli poslat konfig toho co mi tohlety sragory likviduje

Výborný, díky moc !

[rsaf]

Omezit veškerou odchozí komunikaci na portu 25, povolit ji jen z případného mailserveru uvnitř sítě. V dnešní době by už žádní poštovní klienti port 25 pro odesílání pošty svému MTA používat neměli...

Potom se dívat do LOGu zahozených paketů, kdo zevnitř na ten port 25 "klepe" a na daných strojích se zaměřit na viry.
Podobný problém nastává, pokud je v síti nějaký webserver, má nakonfigurované odesílání pošty a je na něm nějaký děravý skript (typicky stoletá neudržovaná Joomla...).

[CrazyApe]

Reseni je jednoduche. Komplet zablokovat port 25 krom ip na ktere je tvuj webserver. Tem co budou volat ze jim neco nejde a maji hosting u tebe tak vysvetlit ze jejich ajtak je dement a 25 uz neni v kurzu a tomu zbytku vysvetlit ze neni ani jeden jediny duvod aby pouzivali tvuj smtp server, kdyz maji mail u seznamu. A ze si maji nastavit SSL/TLS smtp server sveho poskytovatele mailu. Vyreseno navždy. Kazde jine reseni je spatne reseni.

[zzam]

/ip firewall filter
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer

action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list

address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"

[CrazyApe]

/ip firewall filter
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer

action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list

address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"

Taky fajn reseni, ale z dlouhodobeho hlediska je moje reseni ucinnejsi )))

[Mario]

Taky jsem s tím zapasil, vůbec to ale nebyl problém na portu 25 ale na různých portech. Na vině byl zavirovany počítači který mě Windows xp, jediný ve firmě.

[rsaf]

vůbec to ale nebyl problém na portu 25 ale na různých portech.

Mám někde i stovky počítačů za jednou IP, směrem do internetu blokuji jen port 25 (a pár portů co používá windows sdílení) a ty IP na blacklistu nejsou.

[nemsl]

Taky jsem s tím zapasil, vůbec to ale nebyl problém na portu 25 ale na různých portech. Na vině byl zavirovany počítači který mě Windows xp, jediný ve firmě.

Já jsem měl uplně ten samý případ

[nemsl]

Já mam tedy ve fw filter tohle

Kód: Vybrat vše



/ip firewall filter

add action=jump chain=forward comment="Standard Processing" jump-target=standard
add action=jump chain=input comment="Standard Processing" in-interface=vlan1001-netjet jump-target=standard
add action=accept chain=forward dst-port=5355 in-interface=bridge protocol=udp
add action=drop chain=forward comment="BLOKUJE SMTP DETEKOVANYM SPAMMERUM" dst-port=25 log=yes log-prefix=SMTP_DROP_SPAMMER_ protocol=tcp src-address-list=SPAMMER
add action=add-src-to-address-list address-list=SPAMMER address-list-timeout=1d chain=forward comment="DETEKUJE SPAMMERY A NA 1D HO BLOKNE" connection-limit=30,32 dst-port=25 limit=50,5 protocol=tcp src-address-list=SPAMMER

#zde je smtp
add action=drop chain=forward comment="povoleni SMTP ven pouze pres zname srv" dst-address=!192.168.0.132 dst-port=25 log=yes log-prefix=smtpdrop_ protocol=tcp src-address=!192.168.0.132

#blokuje rucne pridane adresy
add action=drop chain=input comment="DROP BLACKLIST" in-interface=vlan1001-netjet src-address-list=BLACKLIST

add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=add-src-to-address-list address-list=BLACKLIST address-list-timeout=none-dynamic chain=input comment="CHECK SYN FLOOD" connection-limit=30,32 in-interface=vlan1001-netjet protocol=tcp tcp-flags=syn
add action=add-src-to-address-list address-list=BLACKLIST address-list-timeout=none-dynamic chain=input comment="CHECK PORT SCANNER" in-interface=vlan1001-netjet protocol=tcp psd=20,3s,3,1
add action=add-src-to-address-list address-list=BLACKLIST address-list-timeout=none-dynamic chain=input comment="CHECK TELNET" connection-state=new dst-port=23 in-interface=vlan1001-netjet protocol=tcp
add action=add-src-to-address-list address-list=BLACKLIST address-list-timeout=none-dynamic chain=input comment="CHECK SSH" connection-state=new dst-port=22 in-interface=vlan1001-netjet protocol=tcp
add action=add-src-to-address-list address-list=BLACKLIST address-list-timeout=none-dynamic chain=input comment="CHECK FTP" connection-state=new dst-port=21 in-interface=vlan1001-netjet protocol=tcp
add action=jump chain=input comment="Jump to VIRUS" in-interface=vlan1001-netjet jump-target=virus log-prefix=virus
add action=drop chain=virus comment="Drop virus - PRC portmapper (UDP)" port=111 protocol=tcp
add action=drop chain=virus comment="Drop virus - PRC portmapper (TCP)" port=111 protocol=udp
add action=drop chain=virus comment="Drop virus - Blaster Worm" log=yes log-prefix=135TCP port=135-139 protocol=tcp
add action=drop chain=virus comment="Drop virus - Messenger Worm" log=yes log-prefix=135UDP port=135-139 protocol=udp
add action=drop chain=virus comment="Drop virus - Blaster Worm (TCP)" log=yes log-prefix=445TCP port=445 protocol=tcp
add action=drop chain=virus comment="Drop virus - Blaster Worm (UDP)" log=yes log-prefix=445UDP port=445 protocol=udp
add action=drop chain=virus comment="Drop virus" port=593 protocol=tcp
add action=drop chain=virus comment="Drop virus" port=1024-1030 protocol=tcp
add action=drop chain=virus comment="Drop virus - MyDoom" port=1080 protocol=tcp
add action=drop chain=virus comment="Drop virus" port=1214 protocol=tcp
add action=drop chain=virus comment="Drop - NDM requester" port=1363 protocol=tcp
add action=drop chain=virus comment="Drop - screen cast" port=1368 protocol=tcp
add action=drop chain=virus comment="Drop - hromgrafx" port=1373 protocol=tcp
add action=drop chain=virus comment="Drop - cichlid" port=1377 protocol=tcp
add action=drop chain=virus comment="Drop virus - Worm" port=1433-1434 protocol=tcp
add action=drop chain=virus comment="Drop virus - Bagle" port=2745 protocol=tcp
add action=drop chain=virus comment="Drop virus - Dumaru.Y" port=2283 protocol=tcp
add action=drop chain=virus comment="Drop virus - Beagle" port=2535 protocol=tcp
add action=drop chain=virus comment="Drop virus - Beagle.C-K" port=2745 protocol=tcp
add action=drop chain=virus comment="Drop virus - MyDoom" disabled=yes port=3127-3128 protocol=tcp
add action=drop chain=virus comment="Drop - Backdoor OptixPro" port=3410 protocol=tcp
add action=drop chain=virus comment="Drop virus - Worm (TCP)" port=4444 protocol=tcp
add action=drop chain=virus comment="Drop virus - Worm (UDP)" port=4444 protocol=udp
add action=drop chain=virus comment="Drop virus - Sasser" port=5554 protocol=tcp
add action=drop chain=virus comment="Drop virus" port=8181 protocol=tcp
add action=drop chain=virus comment="Drop virus - Beagle.B" port=8866 protocol=tcp
add action=drop chain=virus comment="Drop virus - Dabber.A-B" port=9898 protocol=tcp
add action=drop chain=virus comment="Drop virus - Dumaru.Y" port=10000 protocol=tcp
add action=drop chain=virus comment="Drop virus - MyDoom.B" port=10080 protocol=tcp
add action=drop chain=virus comment="Drop virus - NetBus" port=12345 protocol=tcp
add action=drop chain=virus comment="Drop virus - Kuang2" port=17300 protocol=tcp
add action=drop chain=virus comment="Drop virus - SubSeven" port=27374 protocol=tcp
add action=drop chain=virus comment="Drop - PhatBot, Agobot, Gaobot" port=65506 protocol=tcp
add action=return chain=virus


add action=drop chain=forward comment="DROP NA BLACKLIST" dst-address-list=BLACKLIST
add action=drop chain=forward comment="DROP NA MUJ BLACKLIST" dst-address-list=MUJ_BLACKLIST



[rsaf]

Ony toho kódu nejspíš části chybí (celý chain standard?), není poznat kde je accept na navázaná spojení... Ze zbytku mi vyplývá, že blokuješ desítky naprosto legitimních portů, navíc teoreticky v obou směrech takže pokud nebohý uživatel navazuje spojení s webserverem (na port 443) a jeho počítač si "omylem" vybere třeba port 65506, tak to půjde na timeout. Co když chce uživatel přistupovat na něco na nestandardním portu (typicky třeba kamery...) a zrovna se strefí (třeba na port 4444) ?

Nerozumím ani snahám "počítat" kolik spojení se navazuje na port 25 a pak až to blokovat. Stačí i jedno jediné spojené a můžeš být na blacklistu. V dnešní době:
- uživatelé vůbec nepotřebují navazovat spojení na port 25, stačí jim porty 465/587, na těch je vždy služba s autenizací a blacklist přes tyto porty nehrozí. Na port 25 potřebuje komunikovat jen mailserver, pokud ho chce nějaký uživatel u sebe provozovat tak má svouji veřřejku a na té se mu to povolí.
- kdysi byly snahy povolovat 25 na známé servery (seznam, centrum...), s ohledem na výše napsané k tomu není důvod, uživatele je potřeba přesvědčit, že si to má nastavit na 465/587
- ISP již dnes nemá ani důvod provozovat open relay pro své zákazníky - nechť si nastaví odesílání s autentizací. A toto je potřeba i kvůli SPF/DKIM na jejich doménách.
Jediný důvod pro provoz relay je snad jen odesílání mailů s různých (zastaralých) krabiček, kde autentizaci nelze nastavit nebo nefunguje správně...