現在、当社の Web サーバーは Exim に対するボットネット攻撃を受けています。
当社のサーバーは CentOS で、BFD (アクセスを防止するために APF を使用するブルート フォース検出) が設定されており、試行を検出してブロックします。この設定は 99% の確率で機能しますが、金曜日から、電子メール アカウントにアクセスするための分散辞書攻撃を受けています。
私は、exim のメインログで単一の「不正な認証」をトリガーするように BFD を調整しました。BFD は 30 秒ごとに実行されますが、それでもまだ通過してしまいます。
これまでに 1,000 台を超えるマシンがブラックリストに登録されており、禁止期間は現在 4 日間に設定されています。
他に何かできる提案はありますか?
答え1
fail2ban は継続的に実行されるため、BFD よりも優れているでしょうか? いずれにしても、弱いパスワードが侵害されるリスクは少なくとも軽減されるでしょう。
問題のあるIPアドレスのいくつかを、次のようなマルチRBLリストと照合してみてはどうでしょうか。http://multirbl.valli.orgProject Honeypot のようなものがそれらを検出できるかどうかを確認します。もちろん、RBL チェックは SASL 認証の前に行う必要があります。