Перебор логинов на Dovecot - Форум успешных вебмастеров - GoFuckBiz.com
 
 
Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Хостинг и железо
Перебор логинов на Dovecot
Дата
USD/RUB93.4409
BTC/USD63961.3961
Хостинг и железо Обсуждаем вопросы хостинга и железа.

Закрытая тема
Опции темы Опции просмотра
Старый 03.02.2012, 11:08   #1
Grut
Senior Member
 
Аватар для Grut
 
Регистрация: 23.04.2007
Сообщений: 2,118
Бабло: $337995
По умолчанию Перебор логинов на Dovecot
Прикрутил на своих VDS-ах скрипт logwatch. Теперь данный скрипт ежедневно шлет мне на мыло логи. Последнее время в логах наблюдаю такие строки:

Код:
dovecot: pop3-login: Aborted login: user=<access>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<access>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<account>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<account>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<admin>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<admin>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<administrator>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<administrator>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<backup>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<backup>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<data>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<data>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<informix>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<informix>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<lizdy>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<lizdy>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
   dovecot: pop3-login: Aborted login: user=<oracle8>, method=PLAIN, rip=93.91.173.56, lip=109.206.MY.IP: 23 Time(s)
Поскольку подобные логи нахожу каждый день, то напрашивается вывод, что какие-то боты перебирают логины для доступа к моему почтовому серверу.
Подскажите плиз как противостоять?

п.с. fail2ban уже заинстален, но толку от него 0, ибо он банит за неправильный подбор пароля, а не логина.
Grut вне форума  
Старый 03.02.2012, 16:27   #2
JackSoft
Бабло победит зло
 
Аватар для JackSoft
 
Регистрация: 20.06.2008
Сообщений: 2,579
Бабло: $346045
По умолчанию
Забань IP
__________________
"Одно Касание/Touch File" - безопасный обмен файлами "TFUtils" - набор утилит TouchFile "TF Screenshots" - заменим Gyazo безопасным аналогом
JackSoft вне форума  
Старый 03.02.2012, 17:58   #3
Grut
Senior Member
 
Аватар для Grut
 
Регистрация: 23.04.2007
Сообщений: 2,118
Бабло: $337995
ТС -->
автор темы ТС По умолчанию
Цитата:
Сообщение от JackSoft Посмотреть сообщение
Забань IP
Не выход. Каждый новый день - новый айпи.
Grut вне форума  
Старый 03.02.2012, 18:35   #4
mirikas
Senior Member
 
Аватар для mirikas
 
Регистрация: 25.12.2008
Сообщений: 1,099
Бабло: $272735
По умолчанию
а капчу поставить нельзя? примитивную даже
mirikas вне форума  
Старый 03.02.2012, 18:37   #5
sspy
главный злодей гофака
 
Аватар для sspy
 
Регистрация: 18.06.2007
Сообщений: 5,760
Бабло: $953648
По умолчанию
Цитата:
Сообщение от mirikas Посмотреть сообщение
а капчу поставить нельзя? примитивную даже
капчу на pop3 ?

то, что там идет перебор нескольких сотен мыл в день - не страшно
__________________
sspy вне форума  
Старый 03.02.2012, 20:12   #6
mirikas
Senior Member
 
Аватар для mirikas
 
Регистрация: 25.12.2008
Сообщений: 1,099
Бабло: $272735
По умолчанию
Цитата:
Сообщение от sspy Посмотреть сообщение
капчу на pop3 ?

то, что там идет перебор нескольких сотен мыл в день - не страшно
а я затупил. так это можно по другому, если 3 -5 раз не правильный логин - в бан ип
mirikas вне форума  
Старый 03.02.2012, 20:39   #7
Grut
Senior Member
 
Аватар для Grut
 
Регистрация: 23.04.2007
Сообщений: 2,118
Бабло: $337995
ТС -->
автор темы ТС По умолчанию
Цитата:
Сообщение от mirikas Посмотреть сообщение
а я затупил. так это можно по другому, если 3 -5 раз не правильный логин - в бан ип
вот как реализовать такое я хз. Доку по iptables читал, но нихуя не понял
Grut вне форума  
Старый 03.02.2012, 20:47   #8
wiam
Member
 
Аватар для wiam
 
Регистрация: 10.06.2008
Сообщений: 77
Бабло: $21324
По умолчанию
ну поидее типа того, только порт другой _ttp://wiki.enchtex.info/howto/iptables/ssh-guard
wiam вне форума  
Старый 04.02.2012, 01:21   #9
JackSoft
Бабло победит зло
 
Аватар для JackSoft
 
Регистрация: 20.06.2008
Сообщений: 2,579
Бабло: $346045
По умолчанию
http://wiki.firstvds.ru/index.php/%D...8C%D1%8E_inetd
__________________
"Одно Касание/Touch File" - безопасный обмен файлами "TFUtils" - набор утилит TouchFile "TF Screenshots" - заменим Gyazo безопасным аналогом
JackSoft вне форума  
Обратная связь - Архив - Вверх - RSS - Карта сайта

© GoFuckBiz.com