Nuestro servidor web está sufriendo actualmente un ataque de botnet contra Exim.
Nuestro servidor es CentOS y está configurado con BFD (detección de fuerza bruta que utiliza APF para impedir el acceso) para detectar intentos y bloquearlos. Esta configuración funciona el 99% del tiempo; sin embargo, desde el viernes hemos estado bajo un ataque de diccionario distribuido para obtener acceso a cuentas de correo electrónico.
He ajustado BFD para que se active con una única "autenticación incorrecta" en el registro principal en exim y BFD se ejecuta cada 30 segundos, sin embargo, todavía se están comunicando.
Hasta ahora, más de mil máquinas han sido incluidas en la lista negra y el período actualmente establecido es una prohibición de 4 días.
¿Hay alguna otra sugerencia sobre lo que se puede hacer?
Respuesta1
¿Fail2ban sería mejor que BFD ya que se ejecuta continuamente? De cualquier manera, probablemente al menos esté reduciendo el riesgo de que se vean comprometidas contraseñas débiles.
Tal vez verifique algunas de las direcciones IP infractoras con una lista de múltiples RBL comohttp://multirbl.valli.orgy ver si algo como el Proyecto Honeypot los atraparía. Por supuesto, la verificación RBL debe realizarse antes de la autenticación SASL.