• 注册日期: 2010-11-30
  • 文章数: 55

主题: 邮件服务器受到攻击

大家好,今天早上看邮件的队列,有1W多封邮件排队,都是从test用户发出去的,就意识到被攻击,test用户密码呗破解被用来发垃圾邮件,现在把test用户去除了,队列正常!但是看maillog,还有人在尝试破解密码,如下是日志:

10:48:20 mail postfix/smtpd[30846]: disconnect from 213-205-92-77.static.net.novis.pt[213.205.92.77]
Apr  2 10:48:20 mail postfix/smtpd[30807]: lost connection after AUTH from 213-205-92-77.static.net.novis.pt[213.205.92.77]
Apr  2 10:48:20 mail postfix/smtpd[30807]: disconnect from 213-205-92-77.static.net.novis.pt[213.205.92.77]
Apr  2 10:48:21 mail postfix/smtpd[30845]: lost connection after AUTH from 144-21.126-70.tampabay.res.rr.com[70.126.21.144]
Apr  2 10:48:21 mail postfix/smtpd[30845]: disconnect from 144-21.126-70.tampabay.res.rr.com[70.126.21.144]
Apr  2 10:48:21 mail postfix/smtpd[30786]: lost connection after AUTH from c-98-212-25-28.hsd1.in.comcast.net[98.212.25.28]
Apr  2 10:48:21 mail postfix/smtpd[30786]: disconnect from c-98-212-25-28.hsd1.in.comcast.net[98.212.25.28]
Apr  2 10:48:22 mail postfix/smtpd[30797]: warning: 213-205-92-77.static.net.novis.pt[213.205.92.77]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr  2 10:48:22 mail postfix/smtpd[30895]: warning: c-98-236-100-159.hsd1.wv.comcast.net[98.236.100.159]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr  2 10:48:22 mail postfix/smtpd[30808]: warning: c-68-62-79-197.hsd1.mi.comcast.net[68.62.79.197]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

请问各位大侠我该怎么办?如何把这个IP添加到黑名单?或者有什么办法可以加强邮件服务器安全?谢谢,在线等。目前这个IP还在攻击。哭...

  • 注册日期: 2009-12-18
  • 文章数: 2,864

回复: 邮件服务器受到攻击

可以用 iptables 直接封禁这个 IP。

封禁后可以看看 fail2ban 这个程序,它可以自动扫描邮件日志,对一些可疑的客户端采取“在一段时间内不允许访问”等措施。

  • 注册日期: 2010-11-30
  • 文章数: 55

回复: 邮件服务器受到攻击

谢谢老大回复。

我现在在禁用对方的IP,对方的IP总是在不断的换,如下是日志:
Apr  2 14:51:01 mail postfix/smtpd[5812]: warning: 173-27-130-95.client.mchsi.com[173.27.130.95]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr  2 14:51:02 mail postfix/smtpd[5836]: disconnect from adsl-76-216-108-106.dsl.hstntx.sbcglobal.net[76.216.108.106]
Apr  2 14:51:02 mail postfix/smtpd[5812]: lost connection after AUTH from 173-27-130-95.client.mchsi.com[173.27.130.95]
Apr  2 14:51:02 mail postfix/smtpd[5812]: disconnect from 173-27-130-95.client.mchsi.com[173.27.130.95]
Apr  2 14:51:02 mail postfix/smtpd[5835]: lost connection after AUTH from adsl-69-208-138-149.dsl.ipltin.ameritech.net[69.208.138.149]
Apr  2 14:51:02 mail postfix/smtpd[5835]: disconnect from adsl-69-208-138-149.dsl.ipltin.ameritech.net[69.208.138.149]
Apr  2 14:51:04 mail postfix/smtpd[5637]: connect from c-76-105-21-97.hsd1.ca.comcast.net[76.105.21.97]
Apr  2 14:51:05 mail postfix/smtpd[5813]: connect from cpe-173-170-183-217.tampabay.res.rr.com[173.170.183.217]
Apr  2 14:51:05 mail postfix/smtpd[5726]: connect from c-98-212-25-28.hsd1.in.comcast.net[98.212.25.28]
Apr  2 14:51:05 mail postfix/smtpd[5837]: connect from 144-21.126-70.tampabay.res.rr.com[70.126.21.144]

现在还是在不断的尝试登录,造成现在日志文件都达到5G,请问有什么好的办法吗?

  • 注册日期: 2009-12-18
  • 文章数: 2,864

回复: 邮件服务器受到攻击

Fail2ban

  • 注册日期: 2009-12-18
  • 文章数: 47

回复: 邮件服务器受到攻击

Fail2ban
概念类似于windows里面一个机制一个IP输错三次密码就禁止登陆30分钟,让他每三次或数次就换地址去吧。