Наш веб-сервер в настоящее время подвергается атаке ботнета на Exim.
Наш сервер - CentOS и настроен с помощью BFD (обнаружение грубой силы, которое использует APF для предотвращения доступа) для обнаружения попыток и их блокировки. Эта установка работает в 99% случаев, однако с пятницы мы подверглись распределенной атаке по словарю, чтобы получить доступ к учетным записям электронной почты.
Я настроил BFD так, чтобы он запускался по единственной «Неверной аутентификации» в главном журнале exim, и BFD запускается каждые 30 секунд, однако они все еще проходят.
На данный момент более тысячи машин были занесены в черный список с периодом запрета на 4 дня.
Есть ли другие предложения относительно того, что можно сделать?
Будет ли fail2ban лучше, чем BFD, поскольку он работает постоянно? В любом случае, вы, вероятно, по крайней мере уменьшаете риски взлома слабых паролей.
Может быть, проверьте некоторые из вредоносных IP-адресов в списке с несколькими RBL, например http://multirbl.valli.org и посмотрите, сможет ли их поймать что-то вроде Project Honeypot. Конечно, проверка RBL должна предшествовать аутентификации SASL.