[iptables] IP-adres blokkeren - Linux en overige clients

maandag 24 mei 2004 15:43

Acties:

pop the glock

Topicstarter

We krijgen hier steeds virussen van 1 bepaald IP-adres. Pogingen om te achterhalen wie het is hebben gefaald (abuse@provider.nl).

Nu had ik het plan opgevat om dit IP-adres botweg te blokkeren op de firewall, zijnde een IPCop-doosje. Ik ben zelf niet bepaald een iptables-guru, maar volgens enkele users op de mailling-lijsten van IPCop zou het volgende moeten werken:

code:

1	/sbin/iptables -A CUSTOMINPUT -i ppp0 -p tcp --destination-port 25 -s 82.169.xxx.xxx -j DROP

Dit commando staat in rc.local.

Het leek te werken, maar vandaag stond het bewuste adres gewoon weer in de mail.log van de mailserver, compleet met weer een zooi virussen....

If we do not change our direction, we will likely end up where we are heading.

maandag 24 mei 2004 15:48

Acties:

Verwijderd

.

[ Voor 99% gewijzigd door Verwijderd op 31-10-2023 22:30 ]

maandag 24 mei 2004 15:52

Acties:

RvdH

Uitvinder van RickRAID

iptables -A INPUT -s x.x.x.x -j REJECT

Dit *moet* wel werken, tenzij iets misconfigured is of het IP anders is.

maandag 24 mei 2004 15:58

Acties:

FTL

Ik zou
iptables -I INPUT -s x.x.x.x -j REJECT
gebruiken, omdat -A de regel onderaan de lijst toevoegd, en bij iptables de eerste match de reseterende regels niet word doorgelopen.

Dus als je hebt staan
iptables -A INPUT -p TCP -dport 25 -j ACCEPT
voor de -A INPUT -s x.x.x.x -j REJECT regel word hij gewoon geaccepteerd.

maandag 24 mei 2004 15:59

Acties:

Seth4Chaos

that's me...

Is het niet zo dat dit ip-adres jouw mailserver niet meer direct kan berijken (door de firewall regel) en het dus via een MX host stuur, ofwel lzoals hasse_m al zei lees de headers van de mailtjes is goed door en kijk waar je mail nou echt vandaan komt.

overigens kan je beter toch abuse blijven mailen, dit moet werken hoor.

Mistakes are proof that you are trying...

maandag 24 mei 2004 16:06

Acties:

0xDEADBEEF

Ben niet bekend met IPCop, dus weet niet of je er nog software bij kan installeren: http://forum.minddigger.c...c.php?forum=46&topic=4400

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

maandag 24 mei 2004 16:25

Acties:

Tachyon

pop the glock

Topicstarter

Seth4Chaos schreef op 24 mei 2004 @ 15:59:
Is het niet zo dat dit ip-adres jouw mailserver niet meer direct kan berijken (door de firewall regel) en het dus via een MX host stuur, ofwel lzoals hasse_m al zei lees de headers van de mailtjes is goed door en kijk waar je mail nou echt vandaan komt.

overigens kan je beter toch abuse blijven mailen, dit moet werken hoor.

Een header met het bewuste IP-adres:

code:

De volgende e-mail berichten zijn gedetecteerd als besmet met een virus:

    Sender: redactie@nu.nl
IP Address: 82.169.xxx.xxx
 Recipient: user@onsdomein.nl, user@onsdomein.nl
   Subject: Mail Delivery (failure user@onsdomein.nl)
 MessageID: 21E26DB4CE
   Bericht: ClamAV: message.scr contains Worm.SomeFool.P 
            MailScanner: Windows Screensavers are often used to hide viruses (message.scr)
    Bericht: MailScanner: Gevaarlijke IFrame tag in HTML bericht gevonden

De volledige headers zijn:

 Received: from onsdomein.nl (82-169-xxx-xxx-bbxl.xdsl.tiscali.nl [82.169.xxx.xxx])
         by mail.onsdomein.nl (Postfix) with ESMTP id 21E26DB4CE
         for <user@onsdomein.nl>; Sat, 15 May 2004 13:19:11 +0200 (CEST)
 From: redactie@nu.nl
 To: user@onsdomein.nl
 Subject: Mail Delivery (failure user@onsdomein.nl)
 Date: Sat, 15 May 2004 01:19:51 +0200
 MIME-Version: 1.0
 Content-Type: multipart/related;
         type="multipart/alternative";
         boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
 X-Priority: 3
 X-MSMail-Priority: Normal
 Message-Id: <20040515111911.21E26DB4CE@mail.onsdomein.nl>

De e-mail adressen van de sender zijn steeds gespoofed, maar de enige constante is dat IP-adres van Tiscali. Ik heb die lui al 3 keer gemaild, maar krijg steeds zo'n automatisch gegenereerd antwoord. En de enige keer dat ik een echt mailtje terug kreeg was het antwoord:

Tiscali neemt overtredingen van de netiquette zeer ernstig op. In het geval van virussen leert de ervaring echter dat er zelden sprake is van bewust misbruik van onze internet diensten. De meeste verzenders van virussen zijn immers zelf (vaak onwetend

het slachtoffer van een email virus geworden.

Het abuse en security team stelt het dan ook op prijs als u zelf onze abonnee op de hoogte stelt van een eventuele virusbesmetting.

Tsja, wat moet je dan nog

Ik zal de regels van Rick en FTL eens gaan proberen. Het probleem is dat ik niet meteen kan zien of het werkt, want soms gaan er dagen overheen voordat het IP-adres weer opduikt.

Is het overigens mogelijk dat een IP-adres ook gespoofed wordt?

If we do not change our direction, we will likely end up where we are heading.

maandag 24 mei 2004 17:06

Acties:

Verwijderd

.

[ Voor 98% gewijzigd door Verwijderd op 31-10-2023 22:30 ]

maandag 24 mei 2004 23:45

Acties:

eth0

Jij gebruikt een eigen chain "CUSTOMINPUT" "jump" jij deze target wel in de input chain??

iptables -A INPUT -j CUSTOMINPUT

En zorg er voor dat deze natuurlijk wel boven in de INPUT chain staat. Anders allow je eerst poort 25 en later drop je hen voor een ip. Maar je hebt hem dan al door gelaten. Dus CUSTOMINPUT moet in dit geval boven in staan.

Een stukje van mijn INPUT chain:

code:

Chain INPUT (policy DROP)
target     prot opt source               destination
blacklist  all  --  0.0.0.0/0            0.0.0.0/0
icmprules  all  --  0.0.0.0/0            0.0.0.0/0
in         all  --  0.0.0.0/0            0.0.0.0/0

eerst krijg je blacklist, hier drop ik dus bepaalde ip's. Vervolgens wat icmp rules. En als laaste mijn allow regels in de chain "in".

Post anders de output van:

iptables -L -n

eens?

[ Voor 37% gewijzigd door eth0 op 24-05-2004 23:47 ]

maandag 24 mei 2004 23:53

Acties:

Pastinakel

Zwammen en kwazoedels

Maakt dat 82.169.xxx.xxx adres rechtstreeks verbinding met je server of zit daar een mailserver tussen? Als er nog een server tussenzit, kom je met iptables niet verder als je wil filteren op het ip-adres van de afzender.

[ Voor 5% gewijzigd door Pastinakel op 24-05-2004 23:57 ]

Ik kan je niet helpen. De frutsel is warrig en niet knopig. Bovendien heb ik maar één kant | Scrobblernakel

dinsdag 25 mei 2004 08:35

Acties:

Verwijderd

.

[ Voor 98% gewijzigd door Verwijderd op 31-10-2023 22:30 ]

dinsdag 25 mei 2004 08:43

Acties:

RvdH

Uitvinder van RickRAID

Verwijderd schreef op 25 mei 2004 @ 08:35:
Ik vind het blokkeren op een firewall een ERG slechte oplossing! Op die manier bestaat straks het hele internetverkeer uit data die uiteindelijk geblocked gaat worden.

Waar denk jij dat een firewall voor bedoeld is?

dinsdag 25 mei 2004 08:57

Acties:

n00bs

Het is weer Zomer!

Het gaat erom dat de kern van het probleem opgelost wordt

beter voorkomen dan genezen he

Nu is het er 1 die je constant moet blocken, stel dat er nog 1000 bijkomen

dan zit jouw pijpje dicht.

Is op dat IP adres niets te vinden via google (groups)? copernic?
Je kan natuurlijk ook contact opnemen met jouw eigen ISP en melden dat Tiscali niet meewerkt aan deze vorm van abuse

dinsdag 25 mei 2004 09:01

Acties:

_Dune_

Moderator Harde Waren

RAID is geen BACKUP

Verwijderd schreef op 25 mei 2004 @ 08:35:
Ik vind het blokkeren op een firewall een ERG slechte oplossing! Op die manier bestaat straks het hele internetverkeer uit data die uiteindelijk geblocked gaat worden.

Haha volgens mij moet jij eerst eens voor je zelf nagaan waar voor een firewall dient....

.... Deze is er dus voor om inderdaad ongewenste data tegen te houden.

Sinds 1999@Tweakers | Bij IT-ers gaat alles automatisch, maar niets vanzelf. | https://www.go-euc.com/

dinsdag 25 mei 2004 09:02

Acties:

n00bs

Het is weer Zomer!

Natuurlijk is dat een functie van een firewall. Maar je wil niet dat je verbinding vol zit met data wat tegengehouden moet worden. Zelfde namelijk als een dDOS

dinsdag 25 mei 2004 09:08

Acties:

jurri@n

Je zou natuurlijk ook een klein DNS-blacklistje kunnen maken voor dit soort IP-adressen. Dit doe ik zelf ook. Ik krijg van veel mensen met een vast IP virussen, maar ik zou niet weten wie het zijn... ip-adres op de blacklist en ik ontvang geen virussen meer.. gewone mail ontvang ik nog wel van ze, omdat dat via de mailserver van de provider gaat en niet rechtstreeks vanaf hun PC.

dinsdag 25 mei 2004 11:35

Acties:

Verwijderd

.

[ Voor 99% gewijzigd door Verwijderd op 31-10-2023 22:30 ]

dinsdag 25 mei 2004 14:12

Acties:

Tachyon

pop the glock

Topicstarter

Verwijderd schreef op 24 mei 2004 @ 17:06:
heb je ze al eens gebeld dan? Lijkt me dat zij ook wel weten dat jij niet kunt weten wie de afzender is.

Inmiddels telefonisch contact gehad met helpdesk/abuse van Tiscali. Werd verteld dat mijn verzoek in behandeling was maar dat het nog wel even kon duren voordat ik er wat van zou merken. De bewuste klant zou een waarschuwing hebben gekregen en het is natuurlijk maar de vraag of en wanneer hij daar wat mee doet. Pas na herhaalde waarschuwingen volgt een eventuele afsluiting.

eth0 schreef op 24 mei 2004 @ 23:45:
Jij gebruikt een eigen chain "CUSTOMINPUT" "jump" jij deze target wel in de input chain??

Volgens de handleiding van IPCop moet je CUSTOMINPUT gebruiken als je eigen regels wilt toevoegen. CUSTOMINPUT wordt geloof ik ergens in het hoofdscript gedefinieerd (rc.firewall).

Pastinakel schreef op 24 mei 2004 @ 23:53:
Maakt dat 82.169.xxx.xxx adres rechtstreeks verbinding met je server of zit daar een mailserver tussen? Als er nog een server tussenzit, kom je met iptables niet verder als je wil filteren op het ip-adres van de afzender.

Voor zover ik kan zien rechtstreeks, dus zonder mailserver. De meeste virussen hebben tegenwoordig een eigen SMTP-engine, dus dat zou dan wel kloppen.
Anders zou het inderdaad niet veel zin hebben nee.. ;-)

En over de discussie dat blokkeren een slechte oplossing is: ik bestrijd ook liever de oorzaak dan de symptomen, maar soms kun je (tijdelijk) niet anders.

Voorlopig lijkt

code:

1	iptables -I CUSTOMINPUT -s 82.169.xxx.xxx -j REJECT

te werken, want ik heb hem niet meer gezien. Maar dat kan ook toeval zijn.

Ik wacht nog even af wat er de komende dagen gebeurt.

If we do not change our direction, we will likely end up where we are heading.

donderdag 3 juni 2004 14:43

Acties:

Tachyon

pop the glock

Topicstarter

'Nieuwe wormblokker werkt verbluffend'

Andere providers zoals Chello, Tiscali en @Home zouden veel aan de blacklist kunnen hebben. Vooral hun klanten horen bij de grootverspreiders (meer dan duizend virusmailtjes). Tot deze toppers behoort ook een ip-adres bij Tiscali. Hiervandaan zijn ruim twaalfduizend Sober G-mailtjes verstuurd.

Dat is hem vast geweest...

If we do not change our direction, we will likely end up where we are heading.

donderdag 3 juni 2004 15:24

Acties:

Jelmer

De top 250 geliste ip adressen: http://virbl.bit.nl/top-250.txt

Staat ie erbij?

[ Voor 14% gewijzigd door Jelmer op 03-06-2004 15:25 ]

donderdag 3 juni 2004 15:46

Acties:

Tachyon

pop the glock

Topicstarter

Staat ie erbij?

Nee, helaas (?) niet.

Valt me trouwens op dat in de reakties bij Webwereld ook al geklaagd wordt over het feit dat de meeste abuse-afdelingen niet of nauwelijks reageren op verzoeken tot actie / afsluiting. Dat was mijn ervaring bij Tiscali dus ook al.

Misschien moet je het woord 'kinderporno' ofzo in het onderwerp zetten voor meer resultaat...

If we do not change our direction, we will likely end up where we are heading.

donderdag 3 juni 2004 15:50

Acties:

bakakaizoku

ja

Pastinakel schreef op 24 mei 2004 @ 23:53:
Maakt dat 82.169.xxx.xxx adres rechtstreeks verbinding met je server of zit daar een mailserver tussen? Als er nog een server tussenzit, kom je met iptables niet verder als je wil filteren op het ip-adres van de afzender.

^^ met hem

Je kan naar mijn weten niet op headers in een e-mail blokkeren, daarvoor zou je echt moeten kijken naar een tool als spam assasin, of gewoon een virus scanner draaien die inkomende mail met virussen etc. er tussenuit vist.

rm -rf ~/.signature

donderdag 3 juni 2004 16:01

Acties:

Jelmer

Ja ok, maar als je weet dat bij BIT per 5 minuten ongeveer 1100 mailtjes geblokeerd worden op het totaal van 3300, kun je gerust zeggen dat het een effectieve methode is lijkt me.

donderdag 3 juni 2004 20:25

Acties:

Verwijderd

Ehm, zoals Pastinakel en mattttt al zeiden, het is ONZIN om dit ip met een firewall te blokkeren. Je download de emailtjes van de mailserver, en niet van de verzender!, of je moet een eigen mailserver draaien natuurlijk

Als je deze emails niet meer wilt ontvangen zul je een tooltje moeten downen die je mail checkt en emailtjes van de 82.169.xxx.xxx gelijk kan verwijderen.

donderdag 3 juni 2004 22:21

Acties:

Tachyon

pop the glock

Topicstarter

Je download de emailtjes van de mailserver, en niet van de verzender!, of je moet een eigen mailserver draaien natuurlijk

Jullie lezen niet goed. Ik dacht dat het toch wel duidelijk was dat we inderdaad een eigen mailserver draaien. Als je die header hierboven nou eens goed bekijkt.
Het staat zelfs in de openingspost.

Als je deze emails niet meer wilt ontvangen zul je een tooltje moeten downen die je mail checkt en emailtjes van de 82.169.xxx.xxx gelijk kan verwijderen.

Ook hier geldt weer: de virussen zelf waren het probleem niet, die werden keurig allemaal onschadelijk gemaakt. Zie ook weer de header. Het ging erom de load op de mailserver te verminderen die steeds dezelfde shit van hetzelfde IP-adres onschadelijk moest maken.

Dus het heeft wel degelijk nut gehad om dat IP te blocken. Heb er sinds de blokkade ook totaal geen last meer van gehad en het aantal virussen dat we per dag ontvingen is dus ook dramatisch gedaald.

Lees ook dit bericht over blokkeren maar eens.

Dus lees de draad voor je blaat...

If we do not change our direction, we will likely end up where we are heading.

vrijdag 4 juni 2004 14:10

Acties:

Verwijderd

Verwijderd schreef op 25 mei 2004 @ 11:35:
Gelukkig los ik dat soort problemen op met de abuse afdeling. Daardoor hou ik mijn eigen internetpijp redelijk schoon. Het zijn ook gewoon prima netiquetten om er voor te zorgen dat het internet niet dichtslipt met ongewenste data.

Je hebt abuseafdelingen en abuseafdelingen. Een enkele verdient een pluim, rest verstuurt liever eerst een aantal waarschuwingen.
ALs een host jouw tientalle virusmailtjes per dag stuurt, dan houd je je internetpijp helemaal dus niet schoon.
In dergelijke gevallen helpt dus een firewall, maar liever een rbldns, of een deny in smtp config voor desbetreffende ip.
Zo kan de besmette host je niks sturen.
Doen we het op jouw manier, dan moet je eerst wachten tot je een ons weegt, voordat de besmette host afgesloten is/schoon is.

Juist door het niet te blocken (en waarschijnlijk ook nog een virus notificatie naar de fake afzender te sturen (de ergste spam)), en enkel te vertrouwen op een abuse afdeling, slipt het internet dicht. Jouw mta accept de virus mail == bandbreedte is gemaakt.
Ideaal is dus virusverstuurders blocken (op 1 van de vele manieren), en ze rapporteren aan abuse.

De TS hier wil gewoon geen overlast meer van 1 ip, door een regel in firewall is zijn probleem opgelost. Mooi is de oplossing niet, want je zou het op smtp niveau moeten oplossen.

Tevens vind ik dat hier een taak is weggelegd voor isps. Graag blocken ze je internetverbinding: port25 incoming, 135-139 ect ect, maar spam/virus verstuurden hosts (port 25 outgoing) doen ze (een enkele wel) niks.

vrijdag 4 juni 2004 16:00

Acties:

Tachyon

pop the glock

Topicstarter

De TS hier wil gewoon geen overlast meer van 1 ip, door een regel in firewall is zijn probleem opgelost. Mooi is de oplossing niet, want je zou het op smtp niveau moeten oplossen.

Inmiddels heb ik VIRBL in gebruik genomen. Eens kijken hoe dat loopt.

If we do not change our direction, we will likely end up where we are heading.