Ich bin mir nicht sicher, ob das Conficker (Downup, Downadup, Kido ) ist, aber einige hundert versuchen bei mir Emails an ausgedachte namen zuzustellen. Zu erkennen an der Antwort des eigenen Servers: 550 5.1.1 <Ahmed-dlottsri@server>: Recipient address rejected

Da es mit so viel Spaß mit sshdeny gemacht hat, mache ich auch hier eine ähnliche Liste. Unter smtp-botnet.txt stelle ich Euch eine Liste von Rechnern, die vermutlich in einem großen Netz organisiert sind und versuchen (so vermute ich) über Pseudo-Mails die Namen der Systembenutzer herauszufinden, um sie später für einen SSH-Angriff zu benutzen. Doch Vorsicht! Nicht einfach die IPs in /etc/hosts.deny (wie z.B. per „ALL:[ip]“) übernehmen. Es können ja dynamische Adressen sein (aber solche darf man aussperren, da sie keine echten Server sind) oder sogar befreundete Server, von denen man Emails erwartet…

Wie habe ich es erstellt? Ganz einfach – Basics!

egrep „.*[[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}]: 550 5..*“ /var/log/mail.info | awk ‚{ print $10 }‘ | sed „s/[/ /g“ | awk ‚{ print $2 }‘ | sed „s/]/ /g“ | awk ‚{ print $1 }‘

UPDATE:

Jemand hat mich auf die offensichtliche Lösung gebracht. Weil in dieser Liste auch google-Adressen auftauchen, ist die Idee mit einem Bot eher unwahrscheinlich. Was durchaus möglich ist, aber nicht gerade löblich für die Besitzer dieser Server: sie ignorieren meine SPF-Einstellungen und nehmen angeblich von meinem Server stammenden Emails an, die nicht von meinem Server verschickt worden sind. Da diese eine gefälschte Absender-Adresse tragen und nicht zuzgestellt wurden, kommen jetzt die Bounces zurück – und dann genau an die nicht existierenden Adressen! Und das ist wohl des Rätsels Lösung.