우리 웹 서버는 현재 Exim에 대한 봇넷 공격을 받고 있습니다.
우리 서버는 CentOS이며 BFD(액세스를 방지하기 위해 APF를 사용하는 무차별 대입 감지)로 설정되어 시도를 감지하고 차단합니다. 이 설정은 99%의 시간 동안 작동하지만 금요일부터 이메일 계정에 액세스하기 위한 분산 사전 공격을 받았습니다.
exim의 메인로그에서 단일 "잘못된 인증"을 트리거하도록 BFD를 조정했으며 BFD는 30초마다 실행되지만 여전히 통과하고 있습니다.
지금까지 천 대가 넘는 기계가 블랙리스트에 올랐으며, 현재 기간은 4일 금지로 설정되어 있습니다.
무엇을 할 수 있는지에 대한 다른 제안이 있습니까?
답변1
Fail2ban이 지속적으로 실행되므로 BFD보다 낫습니까? 어느 쪽이든 취약한 비밀번호가 손상될 위험을 최소한 줄일 수 있을 것입니다.
다음과 같은 다중 RBL 목록과 비교하여 문제가 되는 IP 주소 중 일부를 확인할 수도 있습니다.http://multirbl.valli.orgProject Honeypot과 같은 것이 그들을 잡을 수 있는지 확인하십시오. 물론 RBL 확인은 SASL 인증보다 먼저 수행되어야 합니다.