Сегодня 11 февраля, вторник

Какой рейтинг вас больше интересует?

получить код

Главная / Каталог блогов / Cтраница блогера deonisray / Запись в блоге

	deonisray Голосов: 0 Адрес блога: http://deonisray.livejournal.com/ Добавлен: 2012-01-29 22:43:08

борьба со спамом и брутфорсом

2012-01-29 01:33:01 (читать в оригинале)

В один прекрасный день, просматривая логи почты (/var/log/mail.log), я обнаружил большое количество записей следующего вида:
postfix/smtpd[24128]: NOQUEUE: reject: RCPT from unknown[178.125.43.96]: 550 5.1.1 <office@имя домена>: Recipient address rejected: User unknown in virtual mailbox table; from=<office@имя домена> to=<office@имя домена> proto=SMTP helo=<black_edition>
Почтового ящика "office@имя домена" у меня не существует
Для обороны от подобного мусора в логи было принято решение использовать програмулину fail2ban, процесс установки описывать не буду перейдем к настройке
в /etc/fail2ban/jail.conf
была добавлена запись:
[postfix-user]

enabled = true

port = smtp,ssmtp

filter = postfix-users

bantime = 250000

maxretry =1

logpath = /var/log/mail.log

и создан файл postfix-users.conf по адресу /etc/fail2ban/filter.d/ следующего содержания:

[Definition]

failregex = NOQUEUE: reject: RCPT from unknown\[<HOST>\]: 550 5.1.1 <office@имя вашего домена>

NOQUEUE: reject: RCPT from (.*)\[<HOST>\]: 550 5.1.1 <office@имя вашего домена>

ignoreregex =

таким образом, при попытке отправить письмо в указанный почтовый ящик, ip адрес отправителя автоматически отправляется в бан

по аналогии были добавлены правила для ssh:
В логах были попытки авторизации несуществующих пользователей типа admin, games, Administrator

в /etc/fail2ban/jail.conf
была добавлена запись:

[ssh-users]

enabled = true

port = ssh

filter = sshd-users

logpath = /var/log/auth.log

maxretry = 1

и добавлен файлик sshd-users.conf по адресу /etc/fail2ban/filter.d/ :

[INCLUDES]

before = common.conf

[Definition]

_daemon = sshd

failregex = Invalid user admin from <HOST>

Invalid user toor from <HOST>

Invalid user sysadmin from <HOST>

Invalid user Administrator from <HOST>

Failed password for games from <HOST>

Failed password for postfix from <HOST>

Failed password for from <HOST>

Failed password for invaled user toor from <HOST>

ignoreregex =

Принцип действия простой, при первой попытке залогинится под несуществующими пользователями (admin, games, sysadmin, toor, Administrator) ip-адрес источника попадает в бан на длительное время.
Через пару дней выложу лог действий fail2ban

Тэги: fail2ban, tolpa.zp.ua, запорожье, хостинг

Блограйдеров
14505

Блогов
219938
(+0 сегодня)

Сообществ
1311
(+0 сегодня)

ЖЖ все стерпит
по количеству голосов (152) в категории «Истории»

Категория «Поп звезды»

Взлеты Топ 5


+173	226	Наша жизнь просто прекрасна
+168	219	Little Showroom
+160	212	Heilig
+147	233	Ulanet.ru - Информационно-развлекательный сайт города Улан-Удэ
+17	29	КАТЯ ЧЕХОВА 2008

Падения Топ 5


-1	43	Диетические рецепты
-1	8	Nique
-1	73	Список диет
-2	9	Vlad_Topalov
-2	10	Комедийный сериал

Загрузка...

BlogRider.ru не имеет отношения к публикуемым в записях блогов материалам. Все записи
взяты из открытых общедоступных источников и являются собственностью их авторов.