seit gestern um 16:00 Uhr versucht irgend so ein Botnetz-Betreiber seinen Dreck in Größenodrnungen abzuliefern, die wir so noch nie erlebt haben.
Der verträumte abendliche Blick aufs Logfile liess uns stutzig werden: normalerweise kann man gegen 22 Uhr schon mitlesen, was auf dem Mailserver passiert – gestern ist das Log in einer Performace durchgescheppert, das man nicht einmal Zeilen erkennen konnte.
Wir haben dann im Abstand von 20 Minuten 2 Log-Analysen laufen lassen, um mal zu schauen, in welchen Größenordnungen wir uns bewegen: bis zu 300 Verbindungen pro Minute.
Um 3 „rotieren“ unsere Logfiles, und davor machen wir eine neue Statistik, die Sie auszugsweise im Bild finden.
Ich erklär mal die Zahlen ein bisschen: Die ersten beiden Zahlen zeigen den „normalen“ Mailtraffic: 5000 rein, 6605 raus. Das ist in Ferienzeiten Normal, da ist nicht so viel los, diese Zahlen können bei uns auch mal 20.000 sein.
Die Wahnsinnszahl sind die knapp 210.000 Mails, die wir nicht angenommen haben. Das sind normalerweise rund doppelt so viele, wie die Summe aus senden umd empfangen.
Wir haben dann mal von Größeren Providern die Dialin-Netze auf der Firewall weggeblockt (brauchen wir auf dem Mailserver eh nicht), das hat die spamversuche zwar um 50% gesenkt, aber nur vorübergehend.
An der Firewall kann man auch prima sehen, mit welchem immensen Druck permanent neue Verbindungen aufgebaut werden – der Graph ist aktuell.
Jetzt die Großen Fragen (und deren Antworten):
- Wieviel Mails haben die denn zugestellt?
- Wieviele Mails werden die denn zustellen?
- Welche Auswirkungen hat das für alle anderen Benutzer?
- Welche Auswirkungen hat das für CRNET?
- Die Uhr unseres Servers geht jetzt schon ein paar Sekunden nach, bis der Uhrzeitdienst die wieder angleicht. Sonst haben wir nichts gefunden.
Naja – Spammer brauchen auch mal Scheisstage. 🙂
Update 16:45 Uhr:
Relativ Zeitnah nach diesem Blogeintrag liess die Welle nach und ist nun fast ganz vorbei. Sehr seltsam – Zufall? Oder hat der Botnetbetreiber den Blog gelesen und die Lust verloren?
Auswertung: 210k bis 3:00 Uhr und 170k danach, also 380.000 Vergebliche Zustellversuche die am Server angekommen sind, und eine unbekannte Anzahl von zustellversuchen der geblockten Netze – wahnsinn; was fü eine sinnlose Vergeudung von Ressourcen.