Sunday, October 28th, 2007 | Author:

Durant la première semaine d’octobre, mon serveur a été victime d’attaque de SPAM dédiée, qui plus est, sur mon domaine (linuxch.org).
J’ai donc avec précaution garder les logs de mon serveur, afin d’en faire une analyse détaillée a posteriori.
La raison était simple : la source de l’attaque n’était pas unique, mais distribuée ! Donc à part bloquer toutes les requêtes SMTP ou stopper le serveur de mail, je n’avais de choix que d’atteindre que la tempête soit passée.

Avant de commencer, voici l’évolution du nombre de connexions durant la semaine :

  • 1er jour : 56756
  • 2ème jour : 39520
  • 3ème jour : 10265
  • 4ème jour : 3504
  • 5ème jour : 2994
  • 6ème jour : 1376

A partir du 6ème jour, l’attaque avait pratiquement disparue, sachant que le nombre de connexions quotidien est d’environ 1’000 connexions. J’ai donc subit plus de 115’000 connexions en 6 jours, alors qu’en temps normal, le nombre de connexions aurait du être autour des 6’000 connexions….un facteur 20 !

En utilisant un simple script en python, écrit pour l’occasion, j’ai analysé la provenance de chanque connexion à l’aide d’une base de donnée 1 qui contient pour chaque adresse IP le pays d’origine. Voici les résultats de l’analyse :

  1. USA (US) : 50 %
  2. Royaume-Uni (GB) : 5 %
  3. Japon (JP) : 4 %
  4. Canada (CA) : 4 %
  5. Finlande (FI) : 3 %
  6. Italie (IT) : 3 %
  7. Mexique (MX) : 3 %
  8. Brésil (BR) : 3 %
  9. Allemagne (DE) : 2 %
  10. France (FR) : 2 %

Je vous épargne les résultats complets, car il y a plus de 120 pays différents !

La conclusion de cette analyse est rapide : l’attaque a été lancé à partir d’un botnet. Dommage de n’avoir pas réussi à garder quelques exemplaires des emails envoyés, il aurait pu être intéressant d’en analayser le contenu.

Le point positif de l’attaque : mon serveur de mail est configuré correctement, merci à Jérôme pour son travail !

  1. fournit sous la forme d’un simple fichier DAT
Category: Security
You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
Leave a Reply » Log in