Я недавно приобрел пакет VPS2 на сайте knownhost. Я также создал заявку в службу поддержки с достоверной информацией об учетной записи для настройки сервера и исправления некоторых проблем. Я давно с ним, всего несколько дней. За эти несколько дней я получил 3 письма с уведомлением о том, что кто-то пытается получить доступ к моей учетной записи, но я не знаю, почему и кто? Мне только что пришло несколько уведомлений:
Time: Wed Apr 13 08:12:27 2011 +0000
IP: 74.63.223.72 (US/United States/72-223-63-74.servebyte.net)
Failures: 10 (pop3d)
Interval: 300 seconds
Blocked: Permanent Block
Log entries:
Apr 13 08:10:57 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:11:43 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:12:17 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<webmaster>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:12:17 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:12:19 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:12:19 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<webmaster>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:12:21 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:12:21 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<webmaster>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:12:23 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<webmaster>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Apr 13 08:12:23 host dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<admin>, method=PLAIN, rip=74.63.223.72, lip=204.197.252.160
Итак, какова может быть цель таких действий для доступа к моей учетной записи и как я могу повысить ее безопасность?
Я бы порекомендовал запустить John the ripper на вашей машине на несколько дней. Он сообщит вам, если пароль легко угадать. Это поможет вам обезопасить свои пароли и их нелегко будет угадать методом перебора.
Как насчет предоставления услуг только SSL для POP / IMAP? Чтобы заблокировать этих детей с их скриптами bruteforce, вы можете использовать fail2ban который будет запрещать эти IP-адреса после настраиваемого количества неудачных попыток подключения.
Записи в приведенном выше сообщении - это просто неудачные попытки входа в систему по протоколу POP3. Вполне вероятно, что текущий IP-адрес ранее использовался другим клиентом knownhost, на котором был запущен сервер POP3. Здесь нет большой угрозы, если у ваших учетных записей электронной почты есть надежные надежные пароли. Если вы считаете, что эти попытки являются злонамеренными, вы, безусловно, можете заблокировать исходные IP-адреса с помощью IPtables или реализовать службу автоматической блокировки, такую как fail2ban.