Bota, bota, bota con los bots! y corre detrás de las máquinas que se caen fritas por ataques.
Pues esto es lo que me ha pasado estos últimos días con el server zimbra que tengo montado. Algún bot animalito ha empezado a mandar mails a cascaporro a la pobrecita máquina dejándomela frita, frita y frita. El ataque era tan bestia que no me aguantaba levantada mas de media hora.
Así que hemos buscado una solución que de momento me está dejando bastante convencida, fail2ban.
Me estaba mirando reglas de iptables para bloquear directamente el bot, pero este venía de muchas ubicaciones y cuando he empezado a estar cubierta de líneas de iptables he dicho basta y pedido ayuda y me han comentado la posibilidad de usar fail2ban y en menos de 5 minutos lo he tenido instalado y comiéndose todos los ataques! :D la maquina ya lleva mas de una hora levantada y va aguantando!
Su instalación:
# apt-get install fail2ban
Configuración:
# cd /etc/fail2ban/ # cp jail.conf jail.local
Modificamos algunas líneas de jail.local
[DEFAULT] ignoreip = 127.0.0.1/8 10.0.0.0/8 bantime = 86400 maxretry = 5
Con ignoreip definimos de qué ips no tiene que preocuparse, le decimos las locales y todas las que vengan de guifi.
Con bantime, el tiempo que vamos a banear la ip
maxretry, el numero de intentos fallidos que intenta la ip acceder a nuestro sistema sin éxito
[ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6
Podemos configurar los intentos de ssh, yo lo he dejado exactamente igual
[postfix] enabled = true port = smtp,ssmtp filter = postfix logpath = /var/log/mail.log
Y el que nos interesa para paliar este ataque, postfix, que ponemos false a true.
Lo siguiente es reiniciar el servicio fail2ban
# /etc/init.d/fail2ban restart
Si nos fijamos en el mismo fichero de configuración, tenemos protección para otros servicios. En filter.d tenemos las regex (regular expresion) que queremos que detecte como intentos fallidos de acceso al sistema.
Y a otra cosa mariposa! :)
RT @Blackhold_: Blog] fail2ban postfix: Bota, bota, bota con los bots! y corre detrás de las máquinas que se caen fritas por ataques http:/…
RT @Blackhold_: Blog] fail2ban postfix: Bota, bota, bota con los bots! y corre detrás de las máquinas que se caen fritas por ataques http:/…
RT @Blackhold_: Blog] fail2ban postfix: Bota, bota, bota con los bots! y corre detrás de las máquinas que se caen fritas por ataques http:/…
Muy util para usarlo con el log de apache, claro los regex serían más elaborado y toca añadir un filtro personalizado para el caso de gente que intenta hacer cosas raras con peticiones get/post peculiares.
El maxretry, indica el número de eventos que vas a tolerar para aplicar el bloqueo en iptables , si pones 0, al primer (en tu caso) correo que llegara de esas ips, bloquea.
Ignasi FS liked this on Facebook.