Jak radzić sobie z Mydoomem od strony serwera

Kamil Zakrzewski autor linuksowej strony – kamil.eu.org – podesłał nam swoje sposoby na walkę z plagą mutacji MyDoom’a z perspektywy admina.

Mydoom’a filtruję od 27 stycznia i do dzisiaj (30.01.04) odfiltrowałem na moim głównym serwerze 2936 sztuk. Łącznie zajmuje to ok. 70 megabajtów. To i tak niewielka część całości „przewidzianej” dla mnie, ponieważ chronię się dodatkowo przed zainfekowanymi hostami używając filtrowania iptables. Dodać bowiem należy, że robal ten rozsyła się wielokrotnie pod te same adresy. Myślę, że gdyby nie netfilter to, doszłoby tego do mnie z 5 razy więcej.

Do filtrowania poczty używam regułek procmaila, które zawierają niepowtarzalne dla tego robala części kodu. Zainfekowane maile są zapisywane w osobnym pliku. Napisałem skrypt, który grepuje ten plik w poszukiwaniu adresów IP zainfekowanych hostów, z których przychodzą robale. Z pliku wynikowego usuwam ręcznie tych kilka hostów, z których pocztę jednak chciałbym otrzymywać, a następnie odpalam drugi skrypt, który dodaje zainfekowane maszyny do regułek netfiltra. Dzięki temu zarażone hosty dostają DROP na porcie 25 i nie mogą mi już nic więcej przesłać.

Piotr Kucharski na pl.news.mordplik zarzucił mi, że chyba mi się nudzi, skoro zamiast używać antywirusa bawię się w ten sposób. No cóż, traktuję to trochę jako badania poznawcze tej zarazy mydoom/novarg, a poza tym odcinam się dzięki regułkom iptables od jeszcze większej ilości przesyłanych wirusów.

Regułki dla procmaila, których używam możesz pobrać stąd. Jeśli chcesz też moje skrypty do obróbki i dodawania do iptables, to napisz do mnie.

Co do administratorów, którzy „chodzą na łatwiznę”. Wysłałem sporo maili z prośbą o nie odbijanie robala pod adres znaleziony w polu from, gdyż jest on fałszywy i odbite maile z robalem zasypują skrzynki niewinnych użytkowników. Niewielu jednak postmasterów w ogóle mi odpowiedziało. Złe jest także nagminne łamanie RFC przez wielu z nich, często bowiem zdarza się, że adres postmaster jest nieczynny i moje prośby wracają jak odbita piłeczka. No cóż, póki co filtruję na razie wszystko, co przychodzi z postmaster, dzięki czemu i ja, i moi użytkownicy mamy większy spokój.

Reasumując, nowy robal pokazał, jak słabo przygotowani jesteśmy do walki z takimi zagrożeniami. Często u podłoża leżą wadliwe programy antywirusowe zainstalowane na serwerach, jednak duży problem stanowi też brak wiedzy lub chęci do pracy ludzi opiekujących się serwerami. Myślę, że najwyższa już pora na pojawienie się nowego standardu zastępującego SMTP. Ograniczy to także ilość spamu, która w ostatnim okresie czasu zastraszająco wzrasta.

Autor: Kamil Zakrzewski
http://kamil.eu.org