En un cliente tuvimos problemas ataques varios contra el servidor de correo Zimbra, aparte de problemas por weak passwords (decisiones gerenciales) y la costumbre de poner «123456» y «qwaszx12» que se rompen por diccionario fácilmente.
Luego de que tomaran conciencia de esto y mejorar mucho el manejo de claves igualmente seguimos sufriendo ataques constantes.
Usamos entre otras cosas fail2ban junto a zimbra desde hace algún tiempo ( [ZIMBRA] ENFRENTANDO EL SPAM CON FAIL2BAN )
Ultimamente aumentaron los ataques contra postfix y las reglas del fail2ban que usabamos no las filtraban
En el log se los ve así :
Apr 6 06:30:49 mail postfix/smtpd[00000]: connect from unknown[151.237.190.118] Apr 6 06:30:49 mail postfix/smtpd[00000]: lost connection after AUTH from unknown[151.237.190.118]
Así que creamos las siguientes reglas en el fail2ban
1: Agregar esto al final de /etc/fail2ban/jail.local
[zimbra-auth-dos] enabled = true filter = zimbra-auth-dos action =iptables-allports[name=Zimbra-auth-DoS] logpath = /var/log/zimbra.log ban= 600 retry=5
2: Crear el filtro /etc/fail2ban/filter.d/zimbra-auth-dos.conf
[Definition] failregex = lost connection after AUTH from (.*)\[<HOST>\] ignoreregex =
3: Reiniciar fail2ban y luego de 5 intentos los bloqueamos por 600s
Hace unos días, me invitaron a hablar en el stream de PorcoNegro, PorcoTV sobre que…
En el vasto mundo digital de hoy, los anuncios no solo son molestos, sino que…
Valido para ANDROID/iOS Para quitar los ADs del celular sin rootear el cel (android), instalar…
con la seguridad de la información. Si, así como lo leen, en muchos sentidos mi…
IoT ("Internet of Things" o "Internet de las Cosas") esa sigla que estamos viendo mucho…