Unser Webserver ist derzeit einem Botnet-Angriff auf Exim ausgesetzt.
Unser Server ist CentOS und mit BFD (Brute Force Detect, das APF verwendet, um Zugriffe zu verhindern) eingerichtet, um Versuche zu erkennen und zu blockieren. Dieses Setup funktioniert in 99 % der Fälle, seit Freitag sind wir jedoch einem verteilten Wörterbuchangriff ausgesetzt, um Zugriff auf E-Mail-Konten zu erhalten.
Ich habe BFD so eingestellt, dass es bei einer einzelnen „Falschen Authentifizierung“ im Hauptprotokoll in Exim ausgelöst wird, und BFD läuft alle 30 Sekunden, sie kommen jedoch immer noch durch.
Bisher wurden über tausend Maschinen auf die schwarze Liste gesetzt, wobei die Sperrdauer derzeit auf vier Tage festgelegt ist.
Gibt es noch weitere Vorschläge, was getan werden kann?
Antwort1
Wäre fail2ban besser als BFD, da es kontinuierlich läuft? So oder so verringern Sie wahrscheinlich zumindest das Risiko, dass schwache Passwörter kompromittiert werden.
Überprüfen Sie einige der fehlerhaften IP-Adressen anhand einer Multi-RBL-Liste wiehttp://multirbl.valli.orgund sehen Sie, ob etwas wie Project Honeypot sie abfangen würde. Natürlich muss die RBL-Prüfung vor der SASL-Authentifizierung erfolgen.