В настоящее время наш веб-сервер подвергается атаке ботнета на Exim.
Наш сервер — CentOS, и он настроен на BFD (Brute Force detect, который использует APF для предотвращения доступа) для обнаружения попыток и их блокировки. Эта настройка работает в 99% случаев, однако с пятницы мы подверглись распределенной атаке по словарю с целью получения доступа к учетным записям электронной почты.
Я настроил BFD так, чтобы он срабатывал при единственном сообщении «Неверная аутентификация» в главном журнале в exim, и BFD запускается каждые 30 секунд, однако они все еще проходят.
На данный момент в черный список занесено более тысячи машин, а срок блокировки на данный момент составляет 4 дня.
Есть ли еще какие-либо предложения относительно того, что можно сделать?
решение1
Будет ли fail2ban лучше BFD, поскольку он работает непрерывно? В любом случае, вы, вероятно, по крайней мере снижаете риски компрометации слабых паролей.
Возможно, стоит проверить некоторые из подозрительных IP-адресов по списку RBL, напримерhttp://multirbl.valli.orgи посмотрим, поймает ли их что-то вроде Project Honeypot. Конечно, проверка RBL должна предшествовать аутентификации SASL.