#Записки о Unix/Linux/BSD/Solaris

Блокируем Ylmf-pc на Exim, BruteForce атака
Автор Охальников Олег   
02:04:2015 г.

Ylmf-pc достаточно известный "нейм", с которого идёт постояннный подбор (Brute Force) авторизации на e-mail серверах. IP разные, поэтому блокировать по IP бесполезно. В логе:
# less /var/log/exim/mainlog | grep ylmf-pc видны следующие записи:

2015-04-01 04:31:55 auth_login authenticator failed for (ylmf-pc) [5.39.223.88] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 04:32:06 auth_login authenticator failed for (ylmf-pc) [5.39.223.88] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 04:32:17 auth_login authenticator failed for (ylmf-pc) [5.39.223.88] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 04:32:28 auth_login authenticator failed for (ylmf-pc) [5.39.223.88] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 23:30:15 auth_login authenticator failed for (ylmf-pc) [37.203.214.115] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 23:30:34 auth_login authenticator failed for (ylmf-pc) [37.203.214.115] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 23:30:50 auth_login authenticator failed for (ylmf-pc) [37.203.214.115] I=[IP-сервера]:25: 535 Incorrect authentication data
2015-04-01 23:31:03 auth_login authenticator failed for (ylmf-pc) [37.203.214.115] I=[IP-сервера]:25: 535 Incorrect authentication data

Открываем конфигурационный файл Exim: # mcedit /usr/local/etc/exim/configure в начале файла, где задаются ACL

acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_helo = acl_smtp_helo
# необходимо добавить

Далее переходим ниже, где в конфиге идет секция  ACL CONFIGURATION Specifies access control lists for incoming SMTP mail, т.е. описание самих правил и добавляем: 

acl_smtp_helo:

drop    condition = ${if eq {$sender_helo_name}{ylmf-pc} {yes}{no}}
   log_message = HELO/EHLO - ylmf-pc blocked
accept

Сохраняем и перезапускаем Exim: # /usr/local/etc/rc.d/exim restart

Т.о. мы добавили ACL проверки HELO/EHLO и при упоминании ylmf-pc прерываем сессию. Смотрим, что в логе:

2015-04-02 11:23:12 H=(ylmf-pc) [5.39.223.88] I=[IP сервера]:25 rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked
2015-04-02 11:23:13 H=(ylmf-pc) [5.39.223.88] I=[IP-сервера]:25 rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked
2015-04-02 11:23:13 H=(ylmf-pc) [5.39.223.88] I=[IP-сервера]:25 rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked
2015-04-02 11:23:13 H=(ylmf-pc) [5.39.223.88] I=[IP-сервера]:25 rejected EHLO or HELO ylmf-pc: HELO/EHLO - ylmf-pc blocked

Цель достигнута!

Материал подготовил:
Охальников Олег aka H@wk!

Добавить коментарий
Имя:
E-mail
Коментарий:



Код:* Code


Просмотров: 3758

  Коментарии (3)
RSS комментарии
 1 Написал(а) Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script , в 00:02 30.05.2017
Благодарю за кучу уцелевших нервов:) постоянно приходилось блочить ip и нервничать, когда всё повторялось.
 2 Написал(а) Юрий, в 17:32 24.07.2016
А если пользователь подменяется IP?
 3 Написал(а) Юрий, в 09:48 24.07.2016
А если вместо (ylmf-pc) выводятся внутренние IP-ки? У меня так: 
 
2016-07-24 05:49:21 login authenticator failed for (192.168.0.155) [89.147.210.206]: 535 Incorrect authentication data 
2016-07-24 05:49:24 login authenticator (LOGIN): 
Cyrus SASL permanent failure: user not found 
2016-07-24 05:49:24 login authenticator failed for (192.168.0.45) [89.147.210.206]: 535 Incorrect authentication data 
2016-07-24 05:49:37 login authenticator (LOGIN): 
Cyrus SASL permanent failure: user not found 
2016-07-24 05:49:37 login authenticator failed for (192.168.0.197) [89.147.210.206]: 535 Incorrect authentication data 
2016-07-24 05:49:50 login authenticator (LOGIN): 
Cyrus SASL permanent failure: user not found 
2016-07-24 05:49:50 login authenticator failed for (192.168.0.248) [89.147.210.206]: 535 Incorrect authentication data 
2016-07-24 05:49:52 login authenticator (LOGIN): 
Cyrus SASL permanent failure: user not found 
2016-07-24 05:49:52 login authenticator failed for (192.168.0.52) [89.147.210.206]: 535 Incorrect authentication data
 
« Монтируем SMB директорию   mdstat - мониторинг сборки RAID в реальном времени »

#COMMENT

Блокируем Ylmf-pc на Exim, Bru...
Благодарю за кучу уцелевших нервов:) постоянно приходилось б...
30/05/17 00:02 More...
By Mus

Установка даты и времени в кон...
Спасибо
12/05/17 17:49 More...
By dushka

Раскладка в rdesktop
Огромное спасибо!
28/04/17 14:01 More...
By Виктор

Аутентификация средствами Apac...
подскажите как писать пороль цифры ?пж! :sigh
28/03/17 13:06 More...
By Лиза

Logwatch - мониторинг журналов...
Отлично, очень не хватало. Автору большое спасибо, пиши еще.
25/01/17 02:44 More...
By Gregg

#/tmp

Каким дистрибутивом Вы пользуетесь?

Сейчас на сайте находятся:
4 гостей