На мой почтовик идет беспрецедентная атака перебором!
Вот только список
забаненных сетей "С" класса (более 7300 и продолжает расти):
1.22.173.0/24 0
1.22.179.0/24 0
1.23.32.0/24 0
1.23.44.0/24 0
1.23.116.0/24 0
1.23.151.0/24 0
1.23.196.0/24 0
1.23.225.0/24 0
1.24.162.0/24 0
1.24.188.0/24 0
1.27.155.0/24 0
1.29.134.0/24 0
1.31.110.0/24 0
1.46.46.0/24 0
1.46.171.0/24 0
1.46.239.0/24 0
1.47.33.0/24 0
1.47.96.0/24 0
1.47.98.0/24 0
1.47.107.0/24 0
1.47.227.0/24 0
1.48.196.0/24 0
1.52.32.0/24 0
......
162.243.74.0/24 0
162.246.19.0/24 0
162.246.211.0/24 0
162.246.212.0/24 0
162.248.4.0/24 0
162.248.74.0/24 0
162.252.188.0/24 0
162.254.3.0/24 0
163.24.104.0/24 0
163.44.148.0/24 0
163.44.151.0/24 0
163.44.152.0/24 0
При этом интенсивность не спадает!
45134 handling incoming connection from (localhost) [45.142.120.6]
45164 handling incoming connection from (localhost) [45.142.120.215]
45201 handling incoming connection from (localhost) [45.142.120.11]
45214 handling incoming connection from (localhost) [45.142.120.90]
45248 handling incoming connection from [45.142.120.16]
45280 handling incoming connection from [45.142.120.52]
45340 handling incoming connection from [45.142.120.137]
45345 handling incoming connection from [45.142.120.147]
45346 handling incoming connection from [45.142.120.8]
45418 handling incoming connection from [45.142.120.84]
45420 handling incoming connection from [45.142.120.35]
45468 handling incoming connection from [45.142.120.93]
45494 handling incoming connection from (User) [87.246.7.226]У меня ограничено количество одновременных подключений и файрвол рано или поздно всех подавит, но кто то очень заморочился, натравив на нас свою бот-сеть.
- P.S.
- После того, как количество забаненых подсетей достигло 14440, атака схлынула. Причем не ослабла, а полностью прекратилась. И мы все обратили внимание на странно круглое число.
Александр! Поделитесь вашими способами борьбы с брутами и сканами, может быть в виде отдельной статьи.
ОтветитьУдалитьЯ тут на Микротике тоже столкнулся при поднятии vpn каждую ночь пытаются пощупать. Ясное дело есть варианты с блек -листами и порт-кногингом.
Интересно чем пользуетесь вы?
На линуксе например узнал недавно про более интересный аналог file2ban - CrowdSec.
Если про что-то опишите, спасибо!
Ну у меня кроме почты наружу ничего не торчит с широким доступом к портам, поэтому работает связка почтового сервера и файрвола:
УдалитьИдет статистическое накопление в базе IP с попытками внешней авторизации и с определенным промежутком времени делается запрос к базе и банятся адреса, встречающиеся больше n раз. В случае, если выявляется атака (по количеству соединений в пуле), то вместо отдельных IP банятся подсети. Состояние файрвола обновляется раз то ли в 15 минут то ли 30, уже не помню. IP старше то ли месяца то ли трех из базы удаляются.Это что касается почты. А вопрос VPN и прочих сервисов решается указанием в правиле файрвола IP источника и другие его просто не увидят.
Торчать открытыми портами наружу в наше время чревато - если не взломают, то за DDOSят.
Готовые решения не использовал, потому ничего о них не скажу, хотя давно посматриваю на Proxmox Mail Gateway.
Александр, спасибо за ответ, мне всякая практика интересна, насчет внешки и портов наружу - полностью согласен.
УдалитьИ кстати, спасибо за обширный мануал по Proxmox на русском у вас в блоге!
Мануал к сожалению закончить некогда
УдалитьНасчет мануала, пусть "в день по чайной ложке", но всё же ))
УдалитьНе бросайте это дело, пжлста!
Дело в том, что пока я переводил v6.0 уже вышла v6.3: я просто не успеваю - очень много времени занимает вычитка-проверка кода и верстка
УдалитьА разве там такие уж большие отличия (v6.0 - v6.3)? Думаю, 90% минимум не должно измениться!
УдалитьВсе равно пока нет времени, если попустит продолжу
УдалитьСпасибо! Теперь видно, что не я один этого жду, есть ещё читатели!
УдалитьЗначит буду изыскивать возможность
Удалить