我pipe理一个networking服务器,最近我们收到通知电子邮件的滥用后,我们的IP被我们的主机禁止(!)。 据称,我们的服务器涉嫌通过HTTP进行垃圾邮件攻击。 我们收到的滥用报告电子邮件的内容并不多 – 例如我们的服务器应该遭到攻击的IP地址不包括在内 – 所以我开始了一个wireshark会话,通过TCP / HTTP检查可疑的stream量,同时试图find可能的系统上的安全漏洞。 (让我注意到机器运行Debian操作系统)。
这是一个这样的请求的例子…
Source: 89.74.188.233 Destination: 12.34.56.78 // my ip Protocol: HTTP Info: GET 'http://www.media.apniworld.com/image.php?type=hv' HTTP/1.0
我手动列入黑名单这个主机(以及其他一些)用iptables阻止他们,但我不能继续做手动整天…我正在寻找一种自动的方式来阻止这样的IP基于:
使用DNSBL我发现89.74.188.233被列入黑名单。 然而,像93.199.112.126 (即http://www.pornstarnetwork.com/account/signin )这样的非常可疑的IP地址,很不幸被列入黑名单! 我想要做的是自动连接我的防火墙与DNSBL(或其他黑名单数据库),并阻止所有stream量黑名单的IP或以某种方式让我的本地黑名单自动更新。
更新1:我的主要问题在于configurationiptables自动阻止所有在公共数据库(如这个)列入黑名单的IP。 我正在寻找一个工具,它会自动更新我的本地黑名单,添加任何黑名单的IP,当然,一旦他们的问题已经解决,将其删除(永远不会永远阻止一个IP,因为它曾经被列入黑名单)。 我真的不明白黑名单Web服务的实用程序,而不能被iptables使用。
我首先要确保你不会无意中成为人们用来中继邮件的HTTP代理。
你是否正在运行任何在你的机器上充当HTTP代理的东西? 如果你这样做,看看locking下来。 如果不是,请调查整个机器。 除非您明确允许随机代码在服务器上运行,否则您可能正在查看受感染的计算机。