Witam,

Nie wiem czy ktoś miał podobne akcje z dostawcą Pro-Futuro. Jestem
administratorem sieci radiowej, około 2000 użyszkodników (no, część nie
jest szkodnikami ;) Z racji takiej ilości abonentów używamy łącza z
ProFuturo - radiolinia 13Mbps (+ 5 x 4Mbps DSL na WWW). 90% klientów
jest sobie grzecznie za NAT'em - wiadomo - RIPE ma deficyt adresów. I tu
zaczyna się jazda z naszymi klientami za NAT'em. Niektórzy nie dbają o
bezpieczeństwo swoich winzgroz, więc wiadomo - wirusy, robale, zombie,
które wymykają się zbiorczym adresem. Co jakiś czas dostawałem od
futrzaków info o spamie, oraz żeby zaprzestać jego wysyłania (zero
więcej info, abym mógł wyśledzić gościa). Czasem się udawało, czasem nie
(logi rosną w ilości kilku tyś. wpisów na sekundę!). W końcu wczorach
futrzaki przegięli pałę. Pomimo informacji, i prób kontaktu z PF
zagrozili wyłączeniem routingu z naszego IP zbiorczego. Co też
oczywiście uczynili, i to po godzinie 17:00, gdzie nikt kompetentny w PF
już nie pracuje. Oczywiście znam nazwisko gościa, który taką dyspozycję
wydał, jednak takie zachowanie wydaje mi się conajmniej
nieodpowiedzialne (na nasze szczęście dysponujemy 512 adresami IP, ale
jednak było to dość kłopotliwe). Smaczku całej sprawie dodaje fakt, że
futrzaki upierają się że chodzi o _źródłowy_ port 25 (jakim do k*y j*j
nędzy prawem, skoro mam porty src 0-1023 wyblokowane na forward?!) Czy
tam na prawdę tylko debile pracują? Usiłujemy dogadać się z nimi od
ponad miesiąca co do proponowanego rozwiązania problemu. I co? albo ktoś
jest na urlopie, albo go nie ma, albo ma w głębokim poważaniu maile do
niego wysyłane. A ja przecież nie zmuszę do używania webmaila, czy
wyłącznie naszej poczty 2000 ludzi bo by mnie zjedli zanim nacisnął bym
enter na regółce. Spotkał się ktoś z takim problemem? Dodam że na
zgłoszenia abuse reagujemy od razu. I jeżeli posiadamy wystarczające
informacje żeby delikwenta namierzyć to od razu wyciągamy konsekwencje.

--
Marcin Kwiatkowski
System Administrator
Mob: +48 663 617 664
Fix: +48 33 819 04 60 ext. 32

do góry

Dnia piątek, 25 sierpnia 2006 10:52, Marcin Kwiatkowski napisał(a):

> I tu
> zaczyna się jazda z naszymi klientami za NAT'em. Niektórzy nie dbają o
> bezpieczeństwo swoich winzgroz, więc wiadomo - wirusy, robale, zombie,
> które wymykają się zbiorczym adresem. Co jakiś czas dostawałem od
> futrzaków info o spamie, oraz żeby zaprzestać jego wysyłania (zero
> więcej info, abym mógł wyśledzić gościa). Czasem się udawało, czasem nie
> (logi rosną w ilości kilku tyś. wpisów na sekundę!).

Z nieco innej beczki, ale polecić mogę smtp-gated. Mam to na każdej
natownicy zainstalowane, bardzo ładnie blokuje osobników wysyłających setki
e-maili na minutę, a nawet jeśli ślą mniej, to i tak do każdego e-maila
dokleja adres sprzed natu. W sprawie spamu z sieci już dawno żadnego
e-maila nie dostałem.

http://smtp-proxy.klolik.org/

--
| pozdrawiam / greetings | powered by Trustix, Gentoo and FreeBSD |
| Kajetan Staszkiewicz | jabber,email,www: vegeta()tuxpowered net |
| Vegeta | IMQ devnames: http://www.tuxpowered.net |
`------------------------^--------------------------
----------------'

do góry

Marcin Kwiatkowski wrote:

> futrzaków info o spamie, oraz żeby zaprzestać jego wysyłania (zero
> więcej info, abym mógł wyśledzić gościa). Czasem się udawało, czasem nie
> (logi rosną w ilości kilku tyś. wpisów na sekundę!). W końcu wczorach
> futrzaki przegięli pałę. Pomimo informacji, i prób kontaktu z PF
> zagrozili wyłączeniem routingu z naszego IP zbiorczego. Co też
> oczywiście uczynili [...] Usiłujemy dogadać się z nimi od
> ponad miesiąca co do proponowanego rozwiązania problemu. I co? albo ktoś

To Twój upstream ma rozwiązywac Twoje wewnętrzne problemy?
Jakie logi z tysiącami wpisów na sekundę? Weź nie pleć, skuteczne
wychwytywanie spamujących abonentów w tak małej sieci naprawdę nie
powinno dla Ciebie stanowić problemu. Szkoda czasu na analizę, kto
wysłał konkretnego spama. Analizuj, kto wysyła je właśnie w tej
chwili...


--
Paweł Małachowski

do góry

On Fri, 25 Aug 2006 10:52:26 +0200 I had a dream that Marcin Kwiatkowski
<m...@N...ajc.com.peel> wrote:
>zaczyna się jazda z naszymi klientami za NAT'em. Niektórzy nie dbają o
>bezpieczeństwo swoich winzgroz, więc wiadomo - wirusy, robale, zombie,
>które wymykają się zbiorczym adresem. Co jakiś czas dostawałem od
>futrzaków info o spamie, oraz żeby zaprzestać jego wysyłania (zero
>więcej info, abym mógł wyśledzić gościa). Czasem się udawało, czasem nie
>(logi rosną w ilości kilku tyś. wpisów na sekundę!). W końcu wczorach
>futrzaki przegięli pałę. Pomimo informacji, i prób kontaktu z PF
>zagrozili wyłączeniem routingu z naszego IP zbiorczego. Co też
>oczywiście uczynili, i to po godzinie 17:00

I bardzo dobrze. To niestety nie jest problem PF, że nie potrafisz poradzić
sobie ze swoją siecią. Wystarczy naprawdę chwilka pracy i problem
spamu i wirusów znika albo jest zminimalizowany.

Hint: connlimit, smtp-gated, iptables itp

--
Grzegorz Janoszka

do góry

A co Ty sie im dziwisz ?

Spam to spam, i trzeba go likwidowac najlepiej w zarodku.
Badz co badz a...@f...com.pl dostaje pewnei dziennie setki listow iz
dany ich IP wysyla spam.

Co za problem logowac naglowki ruchu smtp i nawet recznie je analizowac.
Mozna porobic ograniczenia per IP na 25 porcie dotyczace ilosci pakietow na
sekunde.
Mozna zainstalowac smtp-gated .


MAciej

do góry

Marcin Kwiatkowski <m...@N...ajc.com.peel> wrote:
> tu zaczyna się jazda z naszymi klientami za NAT'em. Niektórzy nie
> dbają o bezpieczeństwo swoich winzgroz, więc wiadomo - wirusy,
> robale, zombie, które wymykają się zbiorczym adresem. Co jakiś czas
> dostawałem od futrzaków info o spamie, oraz żeby zaprzestać jego
> wysyłania (zero więcej info, abym mógł wyśledzić gościa). Czasem się
> udawało, czasem nie (logi rosną w ilości kilku tyś. wpisów na
> sekundę!). W końcu wczorach futrzaki przegięli pałę. Pomimo

nie "przegieli", tylko na poważnie zajęli się problemem śmieci
wychodzących z ich sieci. Skoro Ty sobie z nim nie potrafisz poradzić,
to ktoś inny musiał to zrobić za Ciebie i chwała im za to. A teraz idź
szukać sobie innej pracy zamiast się użalać, może zajęcie konserwatora
powierzchni poziomych będzie mniej wymagające?


B.


--
Remove -trap- when replying. Usun -trap- gdy odpisujesz.

do góry

Marcin Kwiatkowski napisał(a):
> A ja przecież nie zmuszę do używania webmaila, czy
> wyłącznie naszej poczty 2000 ludzi bo by mnie zjedli zanim nacisnął bym
> enter na regółce.

smtp-proxy ?

--
,,,
(o o)
========================oOO==(_)==OOo===============
==========
irc: f...@i...gisz.com Piotr Suchowski
jid: f...@c...pl .oooO Oooo. http://sernik.org
========================(''')==(''')================
==========
pgp id: 0x433F327C \ ( ) /
\_) (_/

do góry

Maciej Przyboś napisał(a):
> Badz co badz a...@f...com.pl dostaje pewnei dziennie setki listow iz
> dany ich IP wysyla spam.

at pro-futuro.com

--
Pozdrawiam
Marcin

do góry

Bronek Kozicki wrote:
> Marcin Kwiatkowski <m...@N...ajc.com.peel> wrote:
>
>> tu zaczyna się jazda z naszymi klientami za NAT'em. Niektórzy nie
>> dbają o bezpieczeństwo swoich winzgroz, więc wiadomo - wirusy,
>> robale, zombie, które wymykają się zbiorczym adresem. Co jakiś czas
>> dostawałem od futrzaków info o spamie, oraz żeby zaprzestać jego
>> wysyłania (zero więcej info, abym mógł wyśledzić gościa). Czasem się
>> udawało, czasem nie (logi rosną w ilości kilku tyś. wpisów na
>> sekundę!). W końcu wczorach futrzaki przegięli pałę. Pomimo
>
>
> nie "przegieli", tylko na poważnie zajęli się problemem śmieci
> wychodzących z ich sieci. Skoro Ty sobie z nim nie potrafisz poradzić,
> to ktoś inny musiał to zrobić za Ciebie i chwała im za to. A teraz idź
> szukać sobie innej pracy zamiast się użalać, może zajęcie konserwatora
> powierzchni poziomych będzie mniej wymagające?
>
>
> B.
>
>

Ja nie o tym pisałem. Dobrze, że są providerzy, których dział abuse
działa (bo w telepsach maile na abuse lądują chyba w /dev/null). W
naszej sieci abuse też działa i gwarantuję że po pierwsze działamy, aby
wyeliminować spam, po drugie zawsze interweniujemy. Jednak w momencie
kiedy dostaję informację z arbuza futuro "przesyłam informację na temat
spamu. proszę zaprzestać jego wysyłania" i poniżej link do np (głównie)
spamcopa, gdzie wszystkie informacje, które pozwoliły by mi namierzyć
zadymiacza poza timestampem zostały usunięte (co też rozumiem), to niby
jak mam ustalić źródło pochodzenia takiego robala? Wiem tylko, że o
godz. tej a tej, coś wyszło przez łącza PF, a przedstawiło się HELO
jednym z naszych DSL'i (które służą do proxy) - bo robale sprawdzają
przez WWW swój IP. Logi proxy z jednego dnia to ok. 10mln. linii. Logi
flag SYN z jednej doby zajmują 60mln. linii. Więc żeby wychwytywać
takich ludków musiał bym nic innego nie robić tylko czytać logi, żeby
_może_ po tygodniu namierzyć jednego dymiącego. Inaczej gdyby wszyscy
mieli adresy publiczne. Wówczas, jak jakiś ptyś trafi na spamtrapa, to
DOKŁADNIE wiem kto (i w ciągu 10 sekund znika mu usługa SMTP).
Postawienie własnego proxy SMTP też nie jest najlepszym rozwiazaniem,
ponieważ nie każdy serwer przyjmie połączenie z proxy (owszem, były
takie próby, ale bardzo dużo klientów narzekało na niedziałającą
pocztę). Jeżeli chodzi o moje kompetencje to nie jestem jakimś
studencikiem, "który podjął się wielkiego administrowania, olbrzymimi
sieciami". Akurat w tej materii mam większe doświadczenie niż
konserwacja powierzchni płaskich (czy jak tam się to nazywa ;) - bo
sprzątanie mi akurat nie wychodzi - spytajcie mojej żony ;) Więc skoro
twierdzicie, że problem jest banalny do rozwiązania, tylko _ja_ jestem
tłuk i nie umiem sobie z tym poradzić - ok. Być może tak jest, kłócić
się nie będę. Zapraszam do firmy i oferuję miesięczną pensję za
rozwiązanie problemu. Bo kilka niezależnych osób po zapoznaniu się z
problemem na miejscu rozłożyło ręce. (m.in. ethanak, który tak samo jak
ja jest zagorzałym wrogiem spamu). Problem jest i trzeba go rozwiązać, a
podejście - "to wyłączamy i idziemy do domu" jest co najmniej
nieodpowiedzialne. I niestety od kiedy internet stał się powszechny
istnieje problem nieodpowiedzialnego jego użytkowania (tak, jestem
zwolennikiem koncesjonowania dostępu do internetu nawet dla osób
prywatnych). Ale mojemu szefowi, który ma z tego przychody nie powiem
przecież, żeby przed podłączeniem jakiegoś kotlesia robił mu egzamin z
podstaw bezpieczeństwa użytkowania sieci, bo zabił by mnie śmiechem.
Protezą na szybko problem rozwiązałem puszczając cały ruch SMTP na
DSL'e. tepsa i tak ma w głębokim poważaniu czy klient spamuje/rozsyła
wirusy/czy konstruuje bombę jądrową. A czasu brak, bo w poniedziałek
administrację przejmuje młody admin, który jest przerażony takimi
problemami.

Pozdrawiam,
Marcin Kwiatkowski

--
Marcin Kwiatkowski
Mandriva IE Asterisk trainer
Fix: +353 283 68 60

do góry

Marcin Kwiatkowski napisał(a):
> się nie będę. Zapraszam do firmy i oferuję miesięczną pensję za
> rozwiązanie problemu. Bo kilka niezależnych osób po zapoznaniu się z
> problemem na miejscu rozłożyło ręce. (m.in. ethanak, który tak samo jak
> ja jest zagorzałym wrogiem spamu). Problem jest i trzeba go rozwiązać, a
> podejście - "to wyłączamy i idziemy do domu" jest co najmniej
> nieodpowiedzialne.
>

człowieku ale czego ty oczekujesz?

Odpowiedzi typu "Aha, trudno, skoro nie potrafi Pan sobie z tym poradzić
to ok, nie będziemy przeszkadzać." ??

Wiesz jak łatwo złapać etykietkę operatora który ma w nosie spam? I jak
ciężko się takiej etykietki pozbyć?
Każdy egzekwuje na swoim poziomie, z moich informacji wynika (do czego
sam się przyznajesz) że WIELKROTNIE były monity z naszej (Futuro) strony
zanim podjęte zostały jakiekolwiek restrykcje, cytuję:

<cytat>
Co jakiś czas dostawałem od futrzaków info o spamie, oraz żeby
zaprzestać jego wysyłania
</cytat>

Grep, grep i jeszcze raz grep, nie ma siły, wszystko da się wyciągnąć :)
Powodzenia, i nie marudź tylko do roboty. Wujek google na pewno pomoże i
polecam wizytę na p.i.mordplik :]

--
Pozdrawiam
Marcin Słowiński

do góry