Exim ломают из вне. Как защититься?

[s@sh@]

Доброго времени суток!
Есть такая фигня в логах. Как бороться?
Брутфорсят с разних ip в разное время. Складывается ощущение что целенаправлено, такая фигня в основном на выходных ночью .

Код: Выделить всё

2010-10-23 00:03:41 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:44 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:46 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:48 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:50 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:52 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:54 [70344] SMTP call from (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25 dropped: too many nonmail commands (last was "AUTH")
2010-10-23 00:03:54 [70344] no MAIL in SMTP connection from (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25 D=14s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,A
UTH,RSET,AUTH,RSET,AUTH,RSET
2010-10-23 00:03:58 [70347] no host name found for IP address 222.35.137.166
2010-10-23 00:03:58 [70347] H=(51Logon.com) [222.35.137.166]:36865 I=[90.91.xx.xx]:25 F=<mpnasbo@globomail.com> rejected RCPT <commerc@SOMEDOMAIN.ua>: "Too m
any dots in hostname : "
2010-10-23 00:03:58 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:58 [70347] H=(51Logon.com) [222.35.137.166]:36865 I=[90.91.xx.xx]:25 incomplete transaction (QUIT) from <mpnasbo@globomail.com>
2010-10-23 00:04:00 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:02 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:04 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:07 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:09 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:11 [70348] SMTP call from (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25 dropped: too many nonmail commands (last was "AUTH")
2010-10-23 00:04:11 [70348] no MAIL in SMTP connection from (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25 D=14s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,A
UTH,RSET,AUTH,RSET,AUTH,RSET 

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[FreeBSP]

bruteblock

[s@sh@]

bruteblock

отчасти согласен, правда, юзаю pf. Под него кто-то чего-то посоветует?

[FreeBSP]

включи ipfw с парой правил и все

Код: Выделить всё

100 deny   all   from  table(1) to   any
200 deny   all   from   any     to  table(1)
300 allow  all    from   any     to   any
65535 ...

[s@sh@]

есть еще варианты?

[gonzo111]

monit

[Laa]

Делать rate-limit для тех хостов, с которых криво аутентифицируются.
У меня так сделано.
Пяток попыток неправильных и на сутки не пускаем. Бывают ложные срабатывания, но по телефону их вносим во временный белый список.

[s@sh@]

Делать rate-limit для тех хостов, с которых криво аутентифицируются.
У меня так сделано.
Пяток попыток неправильных и на сутки не пускаем. Бывают ложные срабатывания, но по телефону их вносим во временный белый список.

Т.е.
использовать что-то типа

Код: Выделить всё

 dom_acl_smtp_connect:
drop
log_message = RATELIMIT BAD AUTH: $sender_rate / $sender_rate_period
message = Too many failed authentication 
ratelimit = 20 / 1h / noupdate / badauth:$sender_host_address
delay = 5s 

или как-то подругому?

[mediamag]

у меня тоже бывает брутфорс и преимущественно ночью, поставил fail2ban - ищет в логе экзима заданные мной словосочитания и после N совпадений заносит айпи в таблицу ipfw..правила написать не составит труда, примеров настройки fail2ban куча в инете

[s@sh@]

Где-то в инете почитал, решил сделать так как там написаною Выглядит приблизительно так:
в configure

Код: Выделить всё

acl_smtp_connect:
.include_if_exists /usr/local/etc/exim/includes/150.acl_check_smtp_connect.conf
acl_smtp_quit:
.include_if_exists /usr/local/etc/exim/includes/151.acl_smtp_quit.conf
acl_smtp_notquit:
.include_if_exists /usr/local/etc/exim/includes/152.acl_smtp_nonquit.conf

Код: Выделить всё

BADAUTH_LIMIT = 30 / 1d

соответсвенно в 150.acl_check_smtp_connect.conf

Код: Выделить всё

drop message   = Too many failed authentication attempts
     log_message = RATELIMIT BAD AUTH: $sender_rate / $sender_rate_period
     ratelimit = BADAUTH_LIMIT / noupdate / badauth:$sender_host_address
     delay = 10s
accept

в 151.acl_smtp_quit.conf

Код: Выделить всё

accept condition = ${if eq{$authentication_failed}{1}}
ratelimit = BADAUTH_LIMIT / badauth:$sender_host_address

в 152.acl_smtp_nonquit.conf

Код: Выделить всё

accept condition = ${if eq{$authentication_failed}{1}}.
       ratelimit = BADAUTH_LIMIT / badauth:$sender_host_address

Но в логах всеравно:

Код: Выделить всё

2010-12-16 16:32:46 [81232] SMTP call from (qsrtyaaj.com) [190.56.167.10]:54590 I=[89.xxx.xxx.xxx]:25 dropped: too many nonmail commands (last was "RSET")
2010-12-16 16:32:46 [81232] no MAIL in SMTP connection from (qsrtyaaj.com) [190.56.167.10]:54590 I=[89.xxx.xxx.xxx]:25 D=7s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,AUTH
2010-12-16 16:32:48 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:50 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:52 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:54 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data

Почему не отрубает?

[blade_007]

вот здесь

Код: Выделить всё

badauth:$sender_host_address

что такое badauth?

[blade_007]

ratelimit ограничивает число соединений, а не попыток!!!!!
Так что может быть много неудачных попыток аутентификации в одном соединении. Количество этих NONMAIL-команд ограничивается опцией smtp_accept_max_nonmail (по умолчанию 10).
Как то так.

[freeetu]

можно ли fail2ban попросить пробежать по логу заново после его перезагрузки ?