Nosso servidor web está passando por um ataque de botnet no Exim.
Nosso servidor é CentOS e está configurado com BFD (detecção de força bruta que usa APF para impedir acesso) para detectar tentativas e bloqueá-las. Esta configuração funciona 99% das vezes, porém desde sexta-feira estamos sob ataque de dicionário distribuído para obter acesso a contas de e-mail.
Ajustei o BFD para acionar uma única "Autenticação incorreta" no log principal do exim e o BFD está sendo executado a cada 30 segundos, mas eles ainda estão passando.
Até agora, mais de mil máquinas foram colocadas na lista negra com o período atualmente definido para uma proibição de 4 dias.
Existem outras sugestões sobre o que pode ser feito?
Responder1
O fail2ban seria melhor que o BFD, pois funciona continuamente? De qualquer forma, você provavelmente está pelo menos reduzindo os riscos de comprometimento de senhas fracas.
Talvez verifique alguns dos endereços IP ofensivos em uma lista multi-RBL comohttp://multirbl.valli.orge ver se algo como o Projeto Honeypot os pegaria. É claro que a verificação RBL precisa vir antes da autenticação SASL.