Людям делать больше нечего, кроме как на ВПС лезть...

12 3
M2
На сайте с 11.01.2011
Offline
321
2603

Смотрю логи почтового сервера, впечатляют всё больше и больше... 99% Password mismatch, lost connection after AUTH/HELO, Host not found и т.д....

Начал вести работу с этим... тык - проблемные IP.

Создается такое впечатление, что людям делать нечего, кроме как либо самим ддосить, либо делать вирусы, заражать ими компы и типа они не при делах вообще... огромное кол-во бессмысленных записей в логах - лишнее тому подтверждение...

fail2ban тоже впечатляющую статистику дает по iptables...

В Китае вообще непонятно кто сидит:


11101 637K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 -m geoip --source-country CN

Примерно столько же невалидных пакетов


12864 533K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID

Делать больше нечего, кроме как доры клепать и таким непотребством заниматься...:dont:

------------------- Крутые VPS и дедики. Качество по разумной цене (http://cp.inferno.name/view.php?product=1212&gid=1) VPS25OFF - скидка 25% на первый платеж по ссылке выше
S
На сайте с 23.05.2004
Offline
290
#1

Это не люди, это боты. Взломанные компы, вэб камеры в качестве прокси и т.п. Банальный перевод ssh на другой порт 1000+ , позволяет избежать 99,99% таких атак. Оставшееся уже будет целенаправленным взломом именно тебя.

Это просто мой личный сайт (https://phpdevs.com/) в моей подписи.
M2
На сайте с 11.01.2011
Offline
321
#2

Stek, ты не понял, я не про ssh говорю. Я говорю конкретно про почтовый сервер. И потом - боты не рождаются самостоятельно, они получаются либо в результате целенаправленной деятельности людей, либо в результате заражения компьютера вирусами, которые, опять же, делают люди.

S
На сайте с 23.05.2004
Offline
290
#3

Я не буду спрашивать "нафига в текущих реалиях свой почтовый сервер" :) Остальное - боты и есть боты. Сканируется вообще все. Свеже созданный впс получает сканы раньше, чем успеваешь к нему подключиться.

suffix
На сайте с 26.08.2010
Offline
262
#4

1. Как раз в текущих реалиях свой почтовый сервер очень даже нужен.

2. Ну сканируют и что ? Делаешь правила для fail2ban (последней версии который с прогрессивной шкалой бана) для логов exim и dovecot - у меня сейчас в многомесячных банах где-то пару сотен IP.

Клуб любителей хрюш (https://www.babai.ru)
M2
На сайте с 11.01.2011
Offline
321
#5
suffix:
Ну сканируют и что ?

Действительно, ну подумаешь, просканировали... ну пароль попытались подобрать.... в логах Password mismatch - конечно, ерунда-то какая... вообще даже обращать внимание на это не стоит...

LEOnidUKG
На сайте с 25.11.2006
Offline
1554
#6
вообще даже обращать внимание на это не стоит...

Именно так и делаю на сервере. Стоит CFS и сам там блокирует, если много запросов с 1 IP и всё.

Что там в логах и что кто подбирает плевать.

---------- Добавлено 14.03.2019 в 16:20 ----------

geoip --source-country CN

Надеюсь ipset установлен у вас.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
suffix
На сайте с 26.08.2010
Offline
262
#7
mark2011:
Действительно, ну подумаешь, просканировали... ну пароль попытались подобрать.... в логах Password mismatch - конечно, ерунда-то какая... вообще даже обращать внимание на это не стоит...

Вы специально процитировали только первое предложение моего поста ? А что там дальше про блокировку fail2ban не осилили прочитать ?

SyS Admin KxK
На сайте с 30.01.2005
Offline
987
#8

LEOnidUKG, Старичок CSF реально снимает головняки

Купить вечный впс (https://ddosov.net/lifetime-vds)
Евгений Крупченко
На сайте с 27.09.2003
Offline
158
#9

а если с первой попытки подберут? 🙄

никакой fail2ban не спасет

плевать

вот такой подход только на руку всем этим хацкерам.

надо по-возможности строчить абузы.

с китайцами, бразильцами понятно дело бесполезно, но хотя бы на особо активных доносить стараться.

еще бы на это по-больше хостеров и провайдеров реагировало как положено.

а то встречаются отморозки типа pin spb, там надо только лично и с битой разговаривать.

порты где возможно конечно стоит менять. но и там на удивление умудряются доставать.

есть такие что видимо сканируют все порты, потом пробивают что на этом порту скорей всего висит и начинают долбить.

жаль с почтой не получится указать ничего кроме стандартных.

у меня кстати бывало подбирали, потом присылали на тот ящик пароль мой с требованием каких-то биткойнов... знать бы еще что оно такое 😂

и еще момент.

считаю что банить ip фаерволом плохая идея.

получается что вообще все соединения будут расходовать больше процессора, чем могли бы.

я баню именно на конечных сервисах - exim, proftpd

чтоб например отдача статики nginx'ом не подтормаживалась ненужной дурной работой (знаю что мизерной, но все же...) по сверке, а не в блэклисте ли ip.

может не правильно мыслю, поправьте.

или может тесты какие-то кто-то когда-то проводил по этому поводу?

к примеру сколько запросов в секунду отдавать может тот же nginx с пустым iptables и с каким-то небольшим числом правил, с большим, с огромным...

каково влияние интересно.

S
На сайте с 23.05.2004
Offline
290
#10
EvGenius:
получается что вообще все соединения будут расходовать больше процессора, чем могли бы.

Вроде как iptables жрет меньше ресурсов в виде фильтра, чем фильтровать средствами сервисов.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий