Vsakodnevno delo sistemskega admina je res dolgočasno. Počutim se kot policaj, ki preganja kriminalce. Včerajšnji dogodek je ponovno popestril večer za dobro uro dela.
Začelo se je okoli 23. ure z obvestilom strežnika, da je strežnik posredoval 105 sporočil na različne naslovnike. V naslednjih 15 minutah sem prejel še cca. 450 podobnih sporočil. Seveda je sledila takojšnja prijava na strežnik, kjer so se LOG datoteke poštnega sistema polnile z sporočili, ki so potovala preko strežnika. Pregled čakalne vrste je javil, da je v čakalni vrsti cca. 3500 sporočil. Sledila je zaustavitev poštnega sistema, pregled čakalne vrste in brisanje sporočil, ki so bila poslana od točno določenega uporabnika.
Začasno sem uporabnika, ki je to pošto pošiljal onemogočil in mu spremenil geslo. Kmalu za te sem izvedel, da je uporabnik za dostop do elektronske pošte uporabljal dokaj enostavno geslo in ker se je dotični uporabnik pred dnevi preselil na moje strežnike iz strežnika, ki je bil okužen in na katerega so že večkrat vdrli, so očitno že tam izvedeli uporabniško ime, do gesla pa prišli na pač kakršenkoli že način.
Napaka, je bila odpravljena v približno 15 minutah, nato pa je sledila raziskava zakaj požarna pregrada ni blokirala IP naslova, ki je izvedel avtentikacijo v tolikšnem obsegu. Požarna pregrada ga ni blokirala, ker je avtentikacija v teh 15 minutah bila opravljena 8632 krat iz prav toliko različnih IP naslovov.
Torej govorimo o botnetu ogromnega števila okuženih računalnikov. Po spremembi gesla uporabnika, se je v 11 urah, skripta iz katere je bilo sproženo pošiljanje poskusila neuspešno prijaviti še cca. 1000 krat in še vedno poskuša prijavo v sistem in možnost nadaljnjega pošiljanja pošte. Po besedah strokovnjaka je cena za dostop do 100 računalnikov, ki so okuženi in so torej v ti. botnetu cca. 10 US$ skupaj s programsko opremo za dostop do le teh.
Kako se torej zaščititi pri tem? Uporabniki naj uporabljajo močna gesla, vem da je to težavno ampak drugače ne bo šlo. Uvedba dvonivojske avtentikacije – vem da bomo s tem zadevo še bolj zakomplicirali, toda bo pa varnost večja.
Na strežniški strani, je potrebno uvesti v kolikor to ni narejeno, obvezno uporabo močnih gesel. Omejiti oz. uvesti omejevanje števila poslane elektronske pošte / domeno / uro. S tem se omejimo oz. onemogočimo, da bi bilo v krajšem času poslanih ogromno sporočil.