我最近在我的 VPS 上配置了 cPanel。今天我看到 /var/log/messages 中的日志显示某些 IP 不断尝试登录但失败了:
10 月 19 日 18:10:30 服务器名称 dovecot:pop3-login:中止登录(身份验证失败,1 次尝试):用户=,方法=PLAIN,rip=181.28.12.12,lip=xxx.myip.xxx.xxx
我发现这个是因为我看到了一封 cPanel 警告电子邮件,内容是“imap 失败@2013 年 10 月 19 日星期六 17:39:54。已尝试自动重启。”
这个错误几乎每秒都会出现一次。哦,天哪……如何阻止这种情况?有什么方法可以阻止此 IP 访问我的邮件服务器吗?
谢谢。
答案1
我最终使用了一种直接的方法...通过 iptables 阻止 IP
(1)编辑 iptables
六、/etc/sysconfig/iptables
(2)在-A列表的顶部添加一行(如果你把它加在下部,有可能不起作用,因为之前的条件已经满足,所以你试图阻止的数据包仍然可以通过……一开始我也遇到了这个问题,最后找到了原因)
-A 输入 -s xxx.xxx.xxx.xxx -j 删除
(3)重启iptables
/etc/init.d/iptables 重启
就这样。登录尝试终于停止了。
我还发现有人说要使用“fail2ban”。如果有更多不同的 IP 试图进行暴力攻击,我可能会尝试一下。