forum.lissyara.su

Добавлено: **2010-10-25 12:34:57**

Доброго времени суток!
Есть такая фигня в логах. Как бороться?
Брутфорсят с разних ip в разное время. Складывается ощущение что целенаправлено, такая фигня в основном на выходных ночью .

Код: Выделить всё

2010-10-23 00:03:41 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:44 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:46 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:48 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:50 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:52 [70344] auth_cram_md5 authenticator failed for (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:54 [70344] SMTP call from (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25 dropped: too many nonmail commands (last was "AUTH")
2010-10-23 00:03:54 [70344] no MAIL in SMTP connection from (hlbwkwqt.com) [203.57.24.3]:2579 I=[90.91.xx.xx]:25 D=14s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,A
UTH,RSET,AUTH,RSET,AUTH,RSET
2010-10-23 00:03:58 [70347] no host name found for IP address 222.35.137.166
2010-10-23 00:03:58 [70347] H=(51Logon.com) [222.35.137.166]:36865 I=[90.91.xx.xx]:25 F=<mpnasbo@globomail.com> rejected RCPT <commerc@SOMEDOMAIN.ua>: "Too m
any dots in hostname : "
2010-10-23 00:03:58 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:03:58 [70347] H=(51Logon.com) [222.35.137.166]:36865 I=[90.91.xx.xx]:25 incomplete transaction (QUIT) from <mpnasbo@globomail.com>
2010-10-23 00:04:00 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:02 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:04 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:07 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:09 [70348] auth_cram_md5 authenticator failed for (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25: 535 Incorrect authentication data
2010-10-23 00:04:11 [70348] SMTP call from (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25 dropped: too many nonmail commands (last was "AUTH")
2010-10-23 00:04:11 [70348] no MAIL in SMTP connection from (bhdgqexq.com) [203.57.24.3]:2623 I=[90.91.xx.xx]:25 D=14s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,A
UTH,RSET,AUTH,RSET,AUTH,RSET

Добавлено: **2010-10-25 13:08:05**

bruteblock

Добавлено: **2010-10-25 13:21:03**

bruteblock

отчасти согласен, правда, юзаю pf. Под него кто-то чего-то посоветует?

Добавлено: **2010-10-25 14:02:06**

включи ipfw с парой правил и все

Код: Выделить всё

100 deny   all   from  table(1) to   any
200 deny   all   from   any     to  table(1)
300 allow  all    from   any     to   any
65535 ...

Добавлено: **2010-10-25 14:45:33**

есть еще варианты?

Добавлено: **2010-10-25 14:49:00**

monit

Добавлено: **2010-10-25 16:01:56**

Делать rate-limit для тех хостов, с которых криво аутентифицируются.
У меня так сделано.
Пяток попыток неправильных и на сутки не пускаем. Бывают ложные срабатывания, но по телефону их вносим во временный белый список.

Добавлено: **2010-10-25 17:54:03**

Laa писал(а):Делать rate-limit для тех хостов, с которых криво аутентифицируются.
У меня так сделано.
Пяток попыток неправильных и на сутки не пускаем. Бывают ложные срабатывания, но по телефону их вносим во временный белый список.

Т.е.
использовать что-то типа

Код: Выделить всё

 dom_acl_smtp_connect:
drop
log_message = RATELIMIT BAD AUTH: $sender_rate / $sender_rate_period
message = Too many failed authentication 
ratelimit = 20 / 1h / noupdate / badauth:$sender_host_address
delay = 5s

или как-то подругому?

Добавлено: **2010-10-30 20:36:17**

у меня тоже бывает брутфорс и преимущественно ночью, поставил fail2ban - ищет в логе экзима заданные мной словосочитания и после N совпадений заносит айпи в таблицу ipfw..правила написать не составит труда, примеров настройки fail2ban куча в инете

Добавлено: **2010-12-20 22:59:07**

Где-то в инете почитал, решил сделать так как там написаною Выглядит приблизительно так:
в configure

Код: Выделить всё

acl_smtp_connect:
.include_if_exists /usr/local/etc/exim/includes/150.acl_check_smtp_connect.conf
acl_smtp_quit:
.include_if_exists /usr/local/etc/exim/includes/151.acl_smtp_quit.conf
acl_smtp_notquit:
.include_if_exists /usr/local/etc/exim/includes/152.acl_smtp_nonquit.conf

Код: Выделить всё

BADAUTH_LIMIT = 30 / 1d

соответсвенно в 150.acl_check_smtp_connect.conf

Код: Выделить всё

drop message   = Too many failed authentication attempts
     log_message = RATELIMIT BAD AUTH: $sender_rate / $sender_rate_period
     ratelimit = BADAUTH_LIMIT / noupdate / badauth:$sender_host_address
     delay = 10s
accept

в 151.acl_smtp_quit.conf

Код: Выделить всё

accept condition = ${if eq{$authentication_failed}{1}}
ratelimit = BADAUTH_LIMIT / badauth:$sender_host_address

в 152.acl_smtp_nonquit.conf

Код: Выделить всё

accept condition = ${if eq{$authentication_failed}{1}}.
       ratelimit = BADAUTH_LIMIT / badauth:$sender_host_address

Но в логах всеравно:

Код: Выделить всё

2010-12-16 16:32:46 [81232] SMTP call from (qsrtyaaj.com) [190.56.167.10]:54590 I=[89.xxx.xxx.xxx]:25 dropped: too many nonmail commands (last was "RSET")
2010-12-16 16:32:46 [81232] no MAIL in SMTP connection from (qsrtyaaj.com) [190.56.167.10]:54590 I=[89.xxx.xxx.xxx]:25 D=7s C=EHLO,AUTH,RSET,AUTH,RSET,AUTH,RSET,AUTH
2010-12-16 16:32:48 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:50 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:52 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data
2010-12-16 16:32:54 [81238] auth_cram_md5 authenticator failed for (yswxdpe.com) [190.56.167.10]:54599 I=[89.xxx.xxx.xxx]:25: 535 Incorrect authentication data

Почему не отрубает?

Добавлено: **2010-12-20 23:28:08**

вот здесь

Код: Выделить всё

badauth:$sender_host_address

что такое badauth?

Добавлено: **2010-12-21 11:16:45**

ratelimit ограничивает число соединений, а не попыток!!!!!
Так что может быть много неудачных попыток аутентификации в одном соединении. Количество этих NONMAIL-команд ограничивается опцией smtp_accept_max_nonmail (по умолчанию 10).
Как то так.

Добавлено: **2013-03-12 21:29:25**

можно ли fail2ban попросить пробежать по логу заново после его перезагрузки ?

forum.lissyara.su

Exim ломают из вне. Как защититься?

Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?

Re: Exim ломают из вне. Как защититься?