Долбят по словарю...

0

0

Вот что творят, гады:

$ grep -c "Address does not exist" /var/log/exim/rejectlog
149908
$ zgrep -c "Address does not exist" /var/log/exim/rejectlog.0.gz
345280

Может, посоветуете какую утилиту для бана негодяев?

Пока ничего, окромя собственного скрипта, в голову не приходит - поиск в гугле находит банилку только под ssh

Ссылка

←	Алгоритм шифрования в ssh

Нидаганяю про семафоры. В упор!

→

через iptables ограничь количество коннектов в секунду с одного хоста.

isden ★★★★★
(13.10.09 12:19:05 MSD)

Ответ на: комментарий от isden 13.10.09 12:19:05 MSD

Ситуёвину не исправит - долбят с разного кол-ва адресов... Сейчас прикрутил к этому делу sshguard, но с извратом-костылём (заметно по скорости бана негодяев - достаточно медлено банит) :((

wilkomen-to-lor
(13.10.09 14:22:42 MSD) автор топика

Ссылка

iptables hashlimit защитит тебя от ботов е*унов.

тупо банить их не вижу смысла. во первых - их много, во вторых - у большинства динамические ип-адреса

Cosmicman ★★
(13.10.09 16:05:05 MSD)

Ответ на: комментарий от Cosmicman 13.10.09 16:05:05 MSD

А это не начнёт блокировать валидные обращения? Таки на почтаре не десять юзеров...

wilkomen-to-lor
(13.10.09 17:38:00 MSD) автор топика

К сожалению готового не подскажу, но вот тебе идея:

см. по аналогии с BruteBlock

В обработчик syslog делаешь pipe на твой скрипт. В скрипте чекаешь регэкспами событие. Далее по твоему усмотрению.

У меня таким образом работает блокировка ssh Скоро сделаю на Apache и Postfix регэкспы.

rufn
(14.10.09 19:32:37 MSD)

Ссылка

Уже подзабыл sendmail, но вроде была фишка (по крайней мере у меня работала) не принимать письма от не майловых хостов. Почтовик делает обратный DNS запрос и понимает что письмо по snmp толкается не с маил сервера, после чего посылает удаленную сторону. Ну и для открытого рилея с любого адреса открытой сетки можно слать по snmp.

Если было в sendmail то должно быть и в exim.

Aleks_IZA ★
(15.10.09 19:02:08 MSD)

Ссылка

Ответ на: комментарий от wilkomen-to-lor 13.10.09 17:38:00 MSD

Нет ,не должно. Если конечно ,валидные пользователи не будут заниматься нехорошими делами :)

Cosmicman ★★
(17.10.09 00:36:18 MSD)

Ответ на: комментарий от Cosmicman 17.10.09 00:36:18 MSD

Фишка в том что hashlimit ограничивает каждый отдельный ip,а не всех сразу, как обычный модуль limit из iptables. Я лично пользуюсь более 5 лет - проблем никаких + логи не засраны этими ботами.

Cosmicman ★★
(17.10.09 00:39:07 MSD)

Ответ на: комментарий от Cosmicman 17.10.09 00:39:07 MSD

http://wodny.org/special/hashlimit.html забавная штуковина :)\
может пригодиться

Cosmicman ★★
(17.10.09 00:43:55 MSD)

Ссылка

$ grep -c «Address does not exist» /var/log/exim/rejectlog 149908

Это за какой период? Сколько левых конектов в секунду (минуту)?

~~sdio~~ ★★★★★
(17.10.09 01:06:05 MSD)

Ссылка

а фильтрации по реверс-днсу и грейлистинга в ексиме нету?

dr-yay ★★
(18.10.09 01:29:23 MSD)

Ссылка

Ответ на: комментарий от Cosmicman 13.10.09 16:05:05 MSD

>iptables hashlimit защитит тебя от ботов е*унов.

Угу. Особенно в сочетании с -j SET :)

Традиционный комбо: hashlimit занесением в ipset + connlimit тоже с занесением. В результате практически чистые логи... и совесть.

Кстати, помогает не только в INPUT для защиты своего сервака извне, но и в FORWARD — для бана зомбированных вантузов в локалке.

nnz ★★★★
(19.10.09 03:02:09 MSD)

Ссылка

fail2ban умеет работать с eximом

drull ★☆☆☆
(20.10.09 15:02:00 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Алгоритм шифрования в ssh

Security

Нидаганяю про семафоры. В упор!

→

Похожие темы