我的电子邮件服务器、IMAP 和 POP3 遭到暴力破解。我安装了 ASL 的完整包,但它只向我发送 OSSEC 日志。我该如何禁止 IP?
我以为 ASL 会在几次错误尝试后自动阻止这些攻击。我该怎么做呢?
答案1
如果您的内核最近支持 iptables(大多数都支持),则类似下面的命令将在 60 秒内允许 6 个连接,然后删除来自该 IP 地址的连接。您可以这样做,而不必编写大量规则来阻止不同的 IP。
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport imap -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport pop3 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 6 -j DROP
或者,如果只有一个 IP:
iptables -I 输入 -s 1.2.3.4/32 -j 删除
应该快速而粗略地删除该 IP
答案2
答案3
您必须在 OSSEC 上启用主动响应才能使其工作。检查您的 ossec.conf 以查看它是否已启用。
iptables 解决方案的问题在于它没有应用程序知识,因此成功的登录仍然会被阻止。