我们的网络服务器目前正在遭受针对 Exim 的僵尸网络攻击。
我们的服务器是 CentOS,并设置了 BFD(使用 APF 阻止访问的暴力检测)来检测并阻止尝试。此设置在 99% 的时间里都有效,但是自周五以来,我们一直受到分布式字典攻击,以获取电子邮件帐户的访问权限。
我已经调整了 BFD,使其在 exim 的主日志中触发单个“不正确的身份验证”,并且 BFD 每 30 秒运行一次,但它们仍然能够通过。
到目前为止,已有一千多台机器被列入黑名单,目前禁令期限为 4 天。
对于可以做什么还有其他建议吗?
答案1
由于 fail2ban 持续运行,它会比 BFD 更好吗?无论如何,您至少可以降低弱密码被泄露的风险。
也许可以根据多 RBL 列表检查一些违规 IP 地址,例如http://multirbl.valli.org看看 Project Honeypot 之类的东西是否能捕获它们。当然,RBL 检查需要在 SASL 身份验证之前进行。