iT邦幫忙

0

Linux Mail Server 如何拒絶持續的掃帳號登入

是用feridoa & sendmail 的伺服器
前陣子有人帳號被盜,在大量的寄送信件,改了密碼就好了..
查看LOG晚上都有人持續的用POP3在試驗所用帳號登入

dovecot: pop3-login: Aborted login (1 authentication attempts): user=<robot>, method=PLAIN, rip=::ffff:213.7.247.229
dovecot: pop3-login: Aborted login (1 authentication attempts): user=<rose>, method=PLAIN, rip=::ffff:213.7.247.229
dovecot: pop3-login: Aborted login (1 authentication attempts): user=<rachel>,

請問有沒有什麼方法可以自動把它的IP加入拒絶清單或是中斷一個時間.
比如一個IP在一個時間內登錄錯誤幾次就先拒絶1小時之類的.
因為雖然那IP在短期內一樣,即使我擋掉後,它也會換一組IP,所以它應該也是跳板或盜用的吧..
或是請教大大們有什麼方法可以處理呢?

halawing iT邦新手 2 級 ‧ 2014-02-14 16:34:26 檢舉
Linux 的用 Fail2ban 確實很好用
之前在某流量極大的大學幫佣
就是安裝這套的
另外記得把預設的資料夾路徑改掉
而且可以針對不同性質的來源IP設定不同的判斷
例如我假如確定某一個IP是另一個學校的NAT對外IP
那這個IP可能就會有多個連線同時提出需求
對這個IP的規則就會額外制定並訂寬一些
12
zuyan
iT邦好手 1 級 ‧ 2014-02-11 09:48:18
最佳解答

fail2ban < 安裝這個套件

tanpen iT邦研究生 3 級 ‧ 2014-02-12 14:11:54 檢舉

已安裝並在試驗階段.感謝大大

12
roylee
iT邦高手 1 級 ‧ 2014-02-11 09:52:11

您好
或許可以試看看 fail2ban ,google 找一下就很多資料囉

18
wiseguy
iT邦超人 1 級 ‧ 2014-02-11 15:57:44

加入底下四行的 iptables 指令:

&lt;pre class="c" name="code">iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name MAIL_AUTH --set
iptables -A INPUT -p tcp -s ! 127.0.0.1 --dport 25 -m state --state NEW -m recent --update --seconds 300 --hitcount 2 --rttl --name MAIL_AUTH -j DROP
iptables -A INPUT -p tcp -s ! 127.0.0.1 --syn --dport 25 -m connlimit --connlimit-above 2 -j DROP

前三個指令的意思是:在 300 秒之內,連超過兩次 25 port 的 IP 就拒絕連線。
後一個指令的意思是:同一時間內,來自同一個 IP 不得連 25 port 超過兩個連線。第二個連線以上就會被拒絕。
你可以按照你家的 mail server 做調配。
設好後就沒白目敢再 try 你家的 mail server 了。因為會讓他家的掃描嚴重 delay。

tanpen iT邦研究生 3 級 ‧ 2014-02-12 14:20:19 檢舉

感恩大大回覆,這是個好方法但我想請教一下,會不會因此反而擋到一些正常的寄件著.或系統發信者呢?

wiseguy iT邦超人 1 級 ‧ 2014-02-12 19:45:34 檢舉

所以我說要按照你們家的 mail server 做調整。
一般而言,來自同一處送信的server,可能五分鐘內不會送超過兩次,如果不小心擋了它,一般而言對方會在 30 分鐘後重試。如果你覺得可能會,那麼五分鐘降為三分鐘或更短也行。
另外同一 IP 同一時間內會連兩個一上的連線,這很明顯是在 try 密碼才有可能,直接擋了。
不好意思,我注意到你寫的是 pop3,所以擋的 port 應該是 110 port,不是 25 port,你自行修改一下。

tanpen iT邦研究生 3 級 ‧ 2014-02-13 09:01:41 檢舉

感謝,我試試

4
mwu4
iT邦新手 2 級 ‧ 2014-02-12 10:26:46

如果要使用fail2ban,而且有個人的設定,建議將個人設定放在「fail2ban.local」或「jail.local」。另外剛開始使用時,建議要查看log以確認fail2ban是否有正常運作;同時可使用指令「iptables -L」,查看是否有fail2ban加入的規則。
若一時無法將fail2ban設定完整,建議使用wiseguy大大的方法。
謝謝。

tanpen iT邦研究生 3 級 ‧ 2014-02-12 14:12:09 檢舉

感恩~

0
riches88
iT邦研究生 4 級 ‧ 2014-02-12 20:58:52

我沒有這麼厲害自己架構
但推薦瑞鑫資訊 MX MAIL,物美價廉,系統穩定、功能齊全
免費更新:
提供電子郵件系統、網頁式郵件、管理維護、LiveCD光碟內建OS作業系統、免安裝設定
LiveKey ISO檔案,支援虛擬化與異地備援服務
郵件備份稽核審閱、垃圾信件過濾、網頁伺服器、FTP、LDAP、DHCP、自動鏡射備份…等功能

我要發表回答

立即登入回答