Spam von hinet.net unterbinden

D3sTROYER · 17. Oktober 2013

Hallo,

seit ein paar Tagen sind werden meine postfix-Logs mehrere GB groß.

Hierfür verantwortlich ist hinet.net.
Ich bekomme mehrere Anfragen pro Sekunde von dieser DNS.

Gibt es eine Möglichkeit eine IP direkt zu bannen(Iptables) wenn dieses als Resolve Dns hinet.net enthält?

Ich habe schon ca. 60 Ips manuell gebannt, es werden aber einfach nicht weniger

Es kommen immer neue dazu.

Hier mal ein Bruchteil des Logs.

Code:

Oct 17 20:26:12 ptl-clan postfix/smtpd[24708]: NOQUEUE: reject: RCPT from 118-166-239-65.dynamic.hinet.net[118.166.239.65]: 554 5.7.1 <ben-7039@yahoo.com.tw>: Relay access denied; from=<tzhydld@yahoo.com.tw> to=<ben-7039@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:12 ptl-clan postfix/smtpd[24835]: NOQUEUE: reject: RCPT from 114-44-100-159.dynamic.hinet.net[114.44.100.159]: 554 5.7.1 <msn_sazabi@yahoo.com.tw>: Relay access denied; from=<cywqdplvdbyes@yahoo.com> to=<msn_sazabi@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:12 ptl-clan postfix/smtpd[22666]: NOQUEUE: reject: RCPT from 114-44-102-27.dynamic.hinet.net[114.44.102.27]: 554 5.7.1 <demon0702@yahoo.com.tw>: Relay access denied; from=<baeizbqzyuocra@yahoo.com> to=<demon0702@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:12 ptl-clan postfix/smtpd[23380]: NOQUEUE: reject: RCPT from 114-44-102-27.dynamic.hinet.net[114.44.102.27]: 554 5.7.1 <concon7434@yahoo.com.tw>: Relay access denied; from=<awlllynjx@yahoo.com> to=<concon7434@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:12 ptl-clan postfix/smtpd[24835]: NOQUEUE: reject: RCPT from 114-44-100-159.dynamic.hinet.net[114.44.100.159]: 554 5.7.1 <quentinny.yw@yahoo.com.tw>: Relay access denied; from=<cywqdplvdbyes@yahoo.com> to=<quentinny.yw@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:12 ptl-clan postfix/smtpd[24025]: connect from 114-44-97-1.dynamic.hinet.net[114.44.97.1]
Oct 17 20:26:12 ptl-clan postfix/smtpd[23380]: NOQUEUE: reject: RCPT from 114-44-102-27.dynamic.hinet.net[114.44.102.27]: 554 5.7.1 <dinglouwang@yahoo.com.tw>: Relay access denied; from=<awlllynjx@yahoo.com> to=<dinglouwang@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:13 ptl-clan postfix/smtpd[23289]: NOQUEUE: reject: RCPT from 36-231-74-174.dynamic-ip.hinet.net[36.231.74.174]: 554 5.7.1 <cherry40915@yahoo.com.tw>: Relay access denied; from=<dqrtdtzlfjbhzy@yahoo.com.tw> to=<cherry40915@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:13 ptl-clan postfix/smtpd[24234]: NOQUEUE: reject: RCPT from 114-44-99-82.dynamic.hinet.net[114.44.99.82]: 554 5.7.1 <photofen@yahoo.com.tw>: Relay access denied; from=<vnioszhvugqe@yahoo.com> to=<photofen@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:13 ptl-clan postfix/smtpd[23380]: NOQUEUE: reject: RCPT from 114-44-102-27.dynamic.hinet.net[114.44.102.27]: 554 5.7.1 <chunghsienpin@yahoo.com.tw>: Relay access denied; from=<awlllynjx@yahoo.com> to=<chunghsienpin@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:13 ptl-clan postfix/smtpd[22386]: NOQUEUE: reject: RCPT from 114-44-100-159.dynamic.hinet.net[114.44.100.159]: 554 5.7.1 <nowbeauty@yahoo.com.tw>: Relay access denied; from=<yphsyhlguga@yahoo.com> to=<nowbeauty@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:13 ptl-clan postfix/smtpd[22387]: NOQUEUE: reject: RCPT from 114-44-102-27.dynamic.hinet.net[114.44.102.27]: 554 5.7.1 <dragon_garden@yahoo.com.tw>: Relay access denied; from=<asdqw@yahoo.com> to=<dragon_garden@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:13 ptl-clan postfix/smtpd[24836]: NOQUEUE: reject: RCPT from 114-44-99-82.dynamic.hinet.net[114.44.99.82]: 554 5.7.1 <pangefa@yahoo.com.tw>: Relay access denied; from=<bjxvdprxygq@yahoo.com> to=<pangefa@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:13 ptl-clan postfix/smtpd[23294]: NOQUEUE: reject: RCPT from 114-44-99-82.dynamic.hinet.net[114.44.99.82]: 554 5.7.1 <rk8903@yahoo.com.tw>: Relay access denied; from=<pbjwkrwd@yahoo.com> to=<rk8903@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:13 ptl-clan postfix/smtpd[24025]: NOQUEUE: reject: RCPT from 114-44-97-1.dynamic.hinet.net[114.44.97.1]: 450 4.1.8 <vibbkvp@yahoo.com.jp>: Sender address rejected: Domain not found; from=<vibbkvp@yahoo.com.jp> to=<roxanne61@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:14 ptl-clan postfix/smtpd[22665]: NOQUEUE: reject: RCPT from 118-168-107-81.dynamic.hinet.net[118.168.107.81]: 554 5.7.1 <seamj1@yahoo.com.tw>: Relay access denied; from=<riezefkdbrh@yahoo.com> to=<seamj1@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:14 ptl-clan postfix/smtpd[22387]: NOQUEUE: reject: RCPT from 114-44-102-27.dynamic.hinet.net[114.44.102.27]: 554 5.7.1 <babywilly@yahoo.com.tw>: Relay access denied; from=<asdqw@yahoo.com> to=<babywilly@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:14 ptl-clan postfix/smtpd[24836]: NOQUEUE: reject: RCPT from 114-44-99-82.dynamic.hinet.net[114.44.99.82]: 554 5.7.1 <renee_tao0417@yahoo.com.tw>: Relay access denied; from=<bjxvdprxygq@yahoo.com> to=<renee_tao0417@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:14 ptl-clan postfix/smtpd[22688]: NOQUEUE: reject: RCPT from 118-168-107-81.dynamic.hinet.net[118.168.107.81]: 554 5.7.1 <angel04062002@yahoo.com.tw>: Relay access denied; from=<doxijywl@yahoo.com> to=<angel04062002@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>
Oct 17 20:26:14 ptl-clan postfix/smtpd[24025]: NOQUEUE: reject: RCPT from 114-44-97-1.dynamic.hinet.net[114.44.97.1]: 450 4.1.8 <vibbkvp@yahoo.com.jp>: Sender address rejected: Domain not found; from=<vibbkvp@yahoo.com.jp> to=<mesoenatides@yahoo.com.tw> proto=SMTP helo=<88.198.90.126>

Edit: Es handelt sich um einen Linux-Mailserver

Hoffe jemand hat eine Lösung.
Danke im voraus.

TP555 · 17. Oktober 2013

Hi

Sieht wohl schwer nach Malware aus
lass mal Malwarebytes drüber laufen mach dann einen Voll Scan ich denke auch das dieser bei dir sehr nötig sein wird
falls was Gefunden wurde
ändere bitte noch in den Windows Netzwerk Einstellungen bei TCP/IP V4 noch den DNS Server auf Automatisch beziehen damit die Schädlichen DNS IP's nicht wieder beim Nächsten Neustart aktiv werden nach dem du das erledigt hast kann du dein System Neustarten

mfg.

marcol1979 · 17. Oktober 2013

Mal nach postfix & dnsbl gesucht

bin/bash · 17. Oktober 2013

Du kannst über iptables auch ganze IP-Bereiche direkt sperren.

Code:

iptables -A INPUT -s  114.44.0.0/16 -j DROP

sperrt z.b. den kompletten Bereich von 114.44.0.0 - 114.44.255.255

Gruß

D3sTROYER · 17. Oktober 2013

Wow, gleich so viele Antworten

Sorry habe da was vergessen zu schreiben.

Es handelt sich um einen Linux-Mailserver.
Es ist also richtig, das er dieses in den Logs anzeigt und bestimmt auch keine Malware.

Die Sperrung von IP-Blöcken ist mir bekannt, so komme ich aber leider nicht weit, da es unendlich viele sind, wo eine Sperrung eines IP-Blockes keinen Sinn macht.

Bsp: 114.44.104.131 und 36.231.73.101, da ist kein Zusammenhang außer dass alle aus Taiwan kommen (hinet.net).

Gibt es nicht eine Möglichkeit alle Anfragen dieser "Domain" bzw. DNS zu blocken?

Sie richten ja keinen Schaden an, sie spammen nur die Logs, weil sie geblockt werden.
Aber die Logs abzuschalten ist auch keine gute Lösung.

Vielen Dank für die vielen Antworten

mensch183 · 17. Oktober 2013

Nimm ANtwort #3 ernst ...

D3sTROYER · 17. Oktober 2013

mensch183 schrieb:
Nimm ANtwort #3 ernst ...

habe ich, jetzt wird aus dem "Relay access denied" ein "Helo command rejected".

Das Logspamming bleibt aber immer noch extrem.

Ergänzung (18. Oktober 2013)

Ok, habe jetzt einfach mal den Port auf 587 geändert und in meinen Mailprogrammen angepasst.

Somit erhalte ich den Spam nicht mehr da er es nur auf Port 25 versucht.

Aber dennoch vielen dank für eure Hilfe!

PS: dnsbl ist jetzt auch eingerichtet

Daaron · 17. Oktober 2013

Du hättest auch anders an die Sache herangehen können: Logrotate und einfach ignorieren.
Wenn man n größeren Server betreut, dann geht man irgendwann zu diesem Schritt über, weil alles andere zu viel kaputt machen würde.

D3sTROYER · 18. Oktober 2013

Daaron schrieb:
Du hättest auch anders an die Sache herangehen können: Logrotate und einfach ignorieren.

Ist erledigt, mache ich es halt so

Stört natürlich nur etwas, wenn man man relevantes auf dem Logfile suchen will (Da sieht man den Wald vor lauter Bäumen nicht)

Daaron · 18. Oktober 2013

Wieso?
less mail.warn | grep "vermutlichemMeldung"
wenns im aktuellen Log sein dürfte. Wenn der gesuchte Wert in einem der komprimierten alten Logs ist -> zless (less mit gz-Support)

D3sTROYER · 18. Oktober 2013

Ok, habe es jetzt so gemacht.

startBlockReader.sh

Code:

echo Starting block Reader...
tail -f /var/log/syslog | grep --line-buffered -Eo ".*reject.*\[[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\]*" | ./blockReader.sh

blockReader.sh

Code:

while read line
        do
                inp=$(echo $line | grep "hinet.net")
                ip_to_block=$(echo $inp | grep -Eo "*[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}*")
                echo "Blacklisted DNS, IP: ${ip_to_block}"
                iptables -A INPUT -s ${ip_to_block} -j DROP
        done

Jetzt ärger ich mich, das ich nicht selbst auf das grep gekommen bin ^^

Vielen dank für die Hilfe!

Suche

Spam von hinet.net unterbinden

D3sTROYER

Cadet 3rd Year

TP555

Rear Admiral

marcol1979

Banned

bin/bash

Lieutenant

D3sTROYER

Cadet 3rd Year

mensch183

Captain

D3sTROYER

Cadet 3rd Year

Daaron

Fleet Admiral

D3sTROYER

Cadet 3rd Year

Daaron

Fleet Admiral

D3sTROYER

Cadet 3rd Year

Ähnliche Themen

Passend zum Thema

Open-Source-Bildbearbeitung GIMP 2.10.38 mit besserer Unterstützung für (Zeichen-)Tablets

Linux Live-System SystemRescue 11.01 setzt auf LTS-Kernel 6.6.30

Telegram Desktop 5.0.0 Update Instant Messenger erhält neue Features und läuft stabiler