作者ddjack (CKK)
看板Linux
标题[问题] SMTP 攻击防御询问
时间Mon Jul 6 09:52:50 2020
公司的MAIL Server是CentOS 平台然後安装外购的MAIL SEVER运作
前阵子发现常常有外部IP使用SMTP在尝试登入公司某些主管的帐号
後来使用FAIL2BAN终於减少这样的状况
但是骇客的攻击也越来越高明
本来类似一小时测试10几次
我用FAIL2BAN 设定 10分钟登3次就BAN IP
他就会进化成 30分钟登三次
有时候我也看LOG 把一些零星的攻击IP都BAN掉
结果最近这种攻击开始出现最新的进化
虽然他目前是都登入一个公司不存在的帐号
然後每格大约10分钟
但是他现在的IP都是非常不固定而且每个IP就只有尝试登入一次就更换IP
想请问这样的攻击模式有阻挡的可能吗
我看IPTABLES 设定只能设定IP的范围好像不能挡住某些帐号的登入
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 211.72.13.49 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Linux/M.1594000372.A.B55.html
1F:→ bitlife: 如果贵公司是中大型企业,直接向网路警察或调查局报案 07/06 10:59
2F:→ bitlife: 从这骇客手法进阶又针对高阶主管,似乎想要干大票的 07/06 11:00
3F:→ bitlife: 当然自身防护同步进行 07/06 11:01
4F:→ bitlife: 如果没有用到帮信赖子领域做mail relay,直接把外部IP连 07/06 11:03
5F:→ bitlife: mail relay功能关掉 07/06 11:03
6F:→ ddjack: 小公司而已..朋友说IDP能解决但是太贵了 07/06 12:12
7F:→ bitlife: 小公司就真的关掉外部IP的mail relay,毕竟在家要以公司名 07/06 13:51
8F:→ bitlife: 义寄信机会很小,真的有需要,可以用VPN连进来寄信.如果VPN 07/06 13:52
9F:→ bitlife: 还是一直被试,那就再搭配knockd或是寄信者固定IP 07/06 13:53
10F:→ bitlife: 连VPN 07/06 13:53
11F:→ ddjack: 好的~我会参考看看这样的方案,感谢指教 07/06 14:11
12F:→ AndCycle: 你碰到的都是很传统的手法, 不可能完全滤掉 07/06 14:49
13F:→ AndCycle: 不过只要你系统设定无误, 帐号密码没外泄, 不受影响 07/06 14:50
14F:→ justoncetime: 双因子认证 07/06 20:02
15F:推 btzhang2718: 可以改pam设定加上google authentication 07/06 20:18
16F:推 chang0206: 别想太多 要被针对攻击的可能性太低 07/07 10:21
17F:→ chang0206: 不信你把主管的信箱改成一堆乱码的帐号 还会不会被打 07/07 10:22
18F:→ chang0206: 真的还是会怕 那就设定VPN (然後换VPN被踹 07/07 10:23
19F:→ ddjack: 以他的攻击频率其实被攻破可能性不高,只是LOG看了烦 07/07 10:39
20F:推 chang0206: 在网路上有开port 就是注定被扫 这没什麽好烦的啊 07/07 11:07
21F:→ newversion: Gmail, hotmail等 每天不知道被try几万次!? 07/12 18:39