作者ddjack (CKK)
看板Linux
標題[問題] SMTP 攻擊防禦詢問
時間Mon Jul 6 09:52:50 2020
公司的MAIL Server是CentOS 平台然後安裝外購的MAIL SEVER運作
前陣子發現常常有外部IP使用SMTP在嘗試登入公司某些主管的帳號
後來使用FAIL2BAN終於減少這樣的狀況
但是駭客的攻擊也越來越高明
本來類似一小時測試10幾次
我用FAIL2BAN 設定 10分鐘登3次就BAN IP
他就會進化成 30分鐘登三次
有時候我也看LOG 把一些零星的攻擊IP都BAN掉
結果最近這種攻擊開始出現最新的進化
雖然他目前是都登入一個公司不存在的帳號
然後每格大約10分鐘
但是他現在的IP都是非常不固定而且每個IP就只有嘗試登入一次就更換IP
想請問這樣的攻擊模式有阻擋的可能嗎
我看IPTABLES 設定只能設定IP的範圍好像不能擋住某些帳號的登入
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 211.72.13.49 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Linux/M.1594000372.A.B55.html
1F:→ bitlife: 如果貴公司是中大型企業,直接向網路警察或調查局報案 07/06 10:59
2F:→ bitlife: 從這駭客手法進階又針對高階主管,似乎想要幹大票的 07/06 11:00
3F:→ bitlife: 當然自身防護同步進行 07/06 11:01
4F:→ bitlife: 如果沒有用到幫信賴子領域做mail relay,直接把外部IP連 07/06 11:03
5F:→ bitlife: mail relay功能關掉 07/06 11:03
6F:→ ddjack: 小公司而已..朋友說IDP能解決但是太貴了 07/06 12:12
7F:→ bitlife: 小公司就真的關掉外部IP的mail relay,畢竟在家要以公司名 07/06 13:51
8F:→ bitlife: 義寄信機會很小,真的有需要,可以用VPN連進來寄信.如果VPN 07/06 13:52
9F:→ bitlife: 還是一直被試,那就再搭配knockd或是寄信者固定IP 07/06 13:53
10F:→ bitlife: 連VPN 07/06 13:53
11F:→ ddjack: 好的~我會參考看看這樣的方案,感謝指教 07/06 14:11
12F:→ AndCycle: 你碰到的都是很傳統的手法, 不可能完全濾掉 07/06 14:49
13F:→ AndCycle: 不過只要你系統設定無誤, 帳號密碼沒外洩, 不受影響 07/06 14:50
14F:→ justoncetime: 雙因子認證 07/06 20:02
15F:推 btzhang2718: 可以改pam設定加上google authentication 07/06 20:18
16F:推 chang0206: 別想太多 要被針對攻擊的可能性太低 07/07 10:21
17F:→ chang0206: 不信你把主管的信箱改成一堆亂碼的帳號 還會不會被打 07/07 10:22
18F:→ chang0206: 真的還是會怕 那就設定VPN (然後換VPN被踹 07/07 10:23
19F:→ ddjack: 以他的攻擊頻率其實被攻破可能性不高,只是LOG看了煩 07/07 10:39
20F:推 chang0206: 在網路上有開port 就是註定被掃 這沒什麼好煩的啊 07/07 11:07
21F:→ newversion: Gmail, hotmail等 每天不知道被try幾萬次!? 07/12 18:39