갑자기 어떤 사람이나 컴퓨터가 내 Linux directadmin 서버에 로그인을 시도하고 있습니다.
마지막 날에는 Direct Admin에서 Exim2에 대한 무차별 공격 메시지를 많이 받았습니다.
이미 Fail2Ban을 설치했고 Block_IP.SH가 서버에 있습니다.
따라서 사용자가 로그인에 15번 실패하면 IP 주소가 차단됩니다.
컴퓨터가 더 이상 로그인을 시도하지 않도록 공격이 계속되는 것을 어떻게 막을 수 있습니까?
답변1
이것은 잘못 작성된 분산 봇입니다. 내가 아는 한, 이들 호스트는 암호화되지 않은 연결을 통해 인증을 시도하고 있습니다. 인증을 위해 보안 연결이 필요한 경우에도 실패합니다. 그러나 암호화되지 않은 연결에 대한 인증을 허용하고 있는 것 같습니다.
기본적으로 fail2ban이 조건은 누락되지만 10분 내에 3번 시도하면 차단됩니다. 금지 시간을 늘리거나 jail.local금지하는 데 필요한 실패 횟수를 조정하는 파일을 만들 수 있습니다 . 또한 서버가 실행되는 동안 구성을 조정할 수도 있습니다. 생성되는 라인과 일치하도록 파일을 생성해야 할 수도 있습니다 . 내 내용을 포함시켰습니다 . 정규식을 테스트하는 데 사용할 수 있습니다 (정규식에 포함된 Python을 교체해야 합니다).fail2banfail2ban-clientexim.localfilter.dexim.localfail2ban-regex
[Definition]
host_info = H=([\w.-]+ )?(\(\S+\) )?\[<HOST>\](:\d+)? ?(I=\[\S+\]:\d+ )?(U=\S+ )?(P=e?smtp )?
failregex = ^%(pid)s %(host_info)s [^:]+: Sender host address is listed in zen.spamhaus.org
^%(pid)s %(host_info)s sender verify fail for <\S+>: (?:Unknown user|Unrouteable address|all relevant MX records point to non-existent hosts)\s*$
^%(pid)s (plain|login) authenticator failed for (\S+ )?\(\S+\) \[<HOST>\]: 535 Incorrect authentication data( \(set_id=.*\)|: \d+ Time\(s\))?\s*$
^%(pid)s %(host_info)s F=(<>|[^@]+@\S+) rejected RCPT [^@]+@\S+: (relay not permitted|Sender verify failed|Unknown user)\s*$
^%(pid)s SMTP protocol synchronization error \([^)]*\): rejected (connection from|"\S+") %(host_info)s(next )?input=".*"\s*$
^%(pid)s SMTP call from \S+ \[<HOST>\](:\d+)? (I=\[\S+\]:\d+ )?dropped: too many nonmail commands \(last was "\S+"\)\s*$
\[<HOST>\]: 535 Incorrect authentication data
^%(pid)s %(host_info)s Warning: smtp used a hostname$
^%(pid)s no MAIL in SMTP connection from (\([^)]+\) )?\[<HOST>\] D=\d+(m\d+)?s( C=.*)?$
^%(pid)s SMTP protocol synchronization error \(input sent without waiting for greeting\): rejected connection from %(host_info)s
ignoreregex =