Es increíble la cantidad de spam que llega desde este dominio, evidentemente les importa poco a este hosting el abuso que tienen permanentemente, por lo que decidí bloquearlo para bajar el phishing (lo lamento por los falsos positivos 😅).
Análisis del caso
Después de analizar varios headers, el factor común es que todos provienen del mismo dominio @xxxx.vps.ovh.net
Ejemplo de un caso donde se observa el dominio
Este dominio corresponde al hosting OVH Cloud que ofrece servidores virtuales (VPS).
Los atacantes alquilan estos servidores en forma efímera para lanzar sus campañas de phishing, que no da tiempo a que las listas anti-spam a actualizarse
Aunque ya reporte cientos de veces, demuestran que tienen poco interés en aportar seguridad a la comunidad y solamente facturar 💰
Por lo que lo considero (para los correos) como no confiable a ese hosting, tomando la medida drástica de bloquearlo 🫷 .
Pueden existir correos legítimos bloqueados con esta medida? Si, sería un falso positivo pero realizando el análisis previo, es muuy poco probable (<1% de la muestra de tres meses) que ocurra por lo que se asume el riesgo remanente a favor de reducir la superficie de ataque.
Bloqueo por Dominio
Edito el archivo de configuración del Postfix
sudo nano /etc/postfix/main.cf
Agregar la siguiente línea:
Creo el archivo sender_access que donde voy a indicar los dominios a rejectar (existe esa palabra?)
sudo nano /etc/postfix/sender_access
Agrego las siguientes línea
.vps.ovh.net REJECT
vps.ovh.net REJECT
Generamos el mapeo del archivo y reiniciamos para tomar los cambios
sudo postmap /etc/postfix/sender_access
sudo systemctl restart postfix
Análisis del caso v2.0 - RevengE
whois 57.129.134.56
Bloqueo por IP
Edito el archivo de configuración del Postfix
sudo nano /etc/postfix/main.cf
Creo el archivo client_access.cidr que donde voy a indicar las IP rechazar (REJECT)
sudo nano /etc/postfix/client_access.cidr
Agrego la siguiente línea
7.129.134.0/24 REJECT # Bloquear rango de vps.ovh.net
Generamos el mapeo del archivo y reiniciamos para tomar los cambios
sudo postmap /etc/postfix/client_access.cidr
sudo systemctl restart postfix
Análisis del caso v2.5 - RevengE ReLoad
Insistente el atacante cambia su forma y utiliza from encubierto, en el cual menciona un remitente (visualmente en el correo) pero en realidad es otros, básicamente cambia sutilmente el dominio a otro país donde tienen alojado los servidores OVH (Canadá en este caso).
Agrego en:
- sender_access los siguientes dominios
.vps.ovh.ca REJECT
vps.ovh.ca REJECT- client_access.cidr el siguiente rango:
213.186.33.0/24 REJECT # Bloquear rango de vps.ovh.ca
Para averiguar mas rangos en el futuro de OVH se puede consultar su ASN (sistema autónomo):
https://bgp.he.net/AS16276#_prefixes
Monitoreo
Para verificar si se están bloqueando se puede consultar con:
sudo grep rejected /var/log/mail.log | grep vps
El cual va mostrar algo así:
Efectivamente los estamos bloqueando al maldito bastardo!! 🤩💪
Para detectar/monitorear direcciones que no son bloqueadas relacionadas con OVH, a esperar el próximo post donde lo detallo
Recursos
- https://dan.langille.org/2019/01/25/using-postfix-to-block-mail-based-on-from-sender-and-to-recipient/
- https://www.postfix.org/postconf.5.html
0 comments:
Publicar un comentario