Сегодня 10 мая, пятница

Какой рейтинг вас больше интересует?

получить код

Главная / Каталог блогов / Cтраница блогера deonisray / Запись в блоге

	deonisray Голосов: 0 Адрес блога: http://deonisray.livejournal.com/ Добавлен: 2012-01-29 22:43:08

борьба со спамом и брутфорсом

2012-01-29 01:33:01 (читать в оригинале)

В один прекрасный день, просматривая логи почты (/var/log/mail.log), я обнаружил большое количество записей следующего вида:
postfix/smtpd[24128]: NOQUEUE: reject: RCPT from unknown[178.125.43.96]: 550 5.1.1 <office@имя домена>: Recipient address rejected: User unknown in virtual mailbox table; from=<office@имя домена> to=<office@имя домена> proto=SMTP helo=<black_edition>
Почтового ящика "office@имя домена" у меня не существует
Для обороны от подобного мусора в логи было принято решение использовать програмулину fail2ban, процесс установки описывать не буду перейдем к настройке
в /etc/fail2ban/jail.conf
была добавлена запись:
[postfix-user]

enabled = true

port = smtp,ssmtp

filter = postfix-users

bantime = 250000

maxretry =1

logpath = /var/log/mail.log

и создан файл postfix-users.conf по адресу /etc/fail2ban/filter.d/ следующего содержания:

[Definition]

failregex = NOQUEUE: reject: RCPT from unknown\[<HOST>\]: 550 5.1.1 <office@имя вашего домена>

NOQUEUE: reject: RCPT from (.*)\[<HOST>\]: 550 5.1.1 <office@имя вашего домена>

ignoreregex =

таким образом, при попытке отправить письмо в указанный почтовый ящик, ip адрес отправителя автоматически отправляется в бан

по аналогии были добавлены правила для ssh:
В логах были попытки авторизации несуществующих пользователей типа admin, games, Administrator

в /etc/fail2ban/jail.conf
была добавлена запись:

[ssh-users]

enabled = true

port = ssh

filter = sshd-users

logpath = /var/log/auth.log

maxretry = 1

и добавлен файлик sshd-users.conf по адресу /etc/fail2ban/filter.d/ :

[INCLUDES]

before = common.conf

[Definition]

_daemon = sshd

failregex = Invalid user admin from <HOST>

Invalid user toor from <HOST>

Invalid user sysadmin from <HOST>

Invalid user Administrator from <HOST>

Failed password for games from <HOST>

Failed password for postfix from <HOST>

Failed password for from <HOST>

Failed password for invaled user toor from <HOST>

ignoreregex =

Принцип действия простой, при первой попытке залогинится под несуществующими пользователями (admin, games, sysadmin, toor, Administrator) ip-адрес источника попадает в бан на длительное время.
Через пару дней выложу лог действий fail2ban

Тэги: fail2ban, tolpa.zp.ua, запорожье, хостинг

Блограйдеров
14489

Блогов
219902
(+0 сегодня)

Сообществ
1309
(+0 сегодня)

ЖЖ все стерпит
по количеству голосов (152) в категории «Истории»

Категория «Игры»

Взлеты Топ 5


+376	408	Parazit!
+375	407	ALEXRUS
+370	383	Remi_Etien_Le_Bo
+368	381	Memрhis
+365	382	_Kicker_

Падения Топ 5


-2	5	Накукрыскин
-6	133	Каталог сенсаций
-6	312	W7Phone.ru
-7	4	Tatarnikoff
-11	144	Перший україномовний ігровий портал

Загрузка...

BlogRider.ru не имеет отношения к публикуемым в записях блогов материалам. Все записи
взяты из открытых общедоступных источников и являются собственностью их авторов.