我們的網頁伺服器目前正遭受針對 Exim 的殭屍網路攻擊。
我們的伺服器是 CentOS,並設定了 BFD(使用 APF 來阻止存取的暴力檢測)來檢測嘗試並阻止它們。這種設定在 99% 的情況下都有效,但是自周五以來,我們一直受到分散式字典攻擊,以獲取對電子郵件帳戶的存取權。
我已將 BFD 調整為在 exim 的主日誌中觸發單個“錯誤身份驗證”,並且 BFD 每 30 秒運行一次,但它們仍然可以通過。
到目前為止,已有超過 1000 台機器被列入黑名單,目前的禁令期限為 4 天。
對於可以做什麼還有其他建議嗎?
答案1
由於連續運行,fail2ban 會比 BFD 更好嗎?不管怎樣,您至少可以降低弱密碼外洩的風險。
也許可以根據多 RBL 清單檢查一些有問題的 IP 位址,例如http://multirbl.valli.org看看蜜罐計劃之類的東西是否能抓住他們。當然,RBL 檢查需要在 SASL 身份驗證之前進行。