在我的ubuntu 14.04服务器的/var/log/mail.log中,我发现了大量这样的行:
Sep 16 13:23:03 server postfix/smtpd[25621]: warning: 212-83-162-157.rev.poneytelecom.eu[212.83.162.157]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
....
Sep 16 12:57:29 server postfix/smtpd[24828]: warning: 212-83-175-192.rev.poneytelecom.eu[212.83.175.192]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
所以我认为,某个犯罪分子试图登录postfix发送垃圾邮件。正如您在每次尝试中都可以看到,犯罪分子使用不同的IP和子域。因此,通过配置iptables阻止特定的IP来阻止是没有意义的。 所以我想要做的是阻止域名的所有子域名" poneytelecom.eu"通过iptables。
因此我尝试了不同的东西:
iptables -I INPUT -m string --algo bm --string "*poneytelecom.eu" -j DROP
iptables -I INPUT -m string --string "Host: *poneytelecom.eu" --algo bm -j DROP
iptables –A INPUT –m string --algo bm --string "*poneytelecom.eu" -j DROP
命令" iptables -L -n --line"这样说:
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 STRING match "Host: *poneytelecom.eu" ALGO name bm TO 65535
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 STRING match "*poneytelecom.eu" ALGO name bm TO 65535
3 DROP all -- 0.0.0.0/0 0.0.0.0/0 STRING match "*poneytelecom.eu" ALGO name bm TO 65535
但是它不起作用;我仍然可以通过这个域看到/var/log/mail.log中的破解尝试:
Sep 16 13:32:25 server postfix/smtpd[25922]: warning: 62-210-188-107.rev.poneytelecom.eu[62.210.188.107]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
有人知道,我分别做错了如何通过iptables阻止子域名?
答案 0 :(得分:1)
据我所知,您的服务器上存在smtp暴力攻击。为了避免这种攻击,您必须使用fail2ban,它支持SSH,SMTP等的强力保护。
http://techarena51.com/index.php/confiigure-fail2ban-block-brute-force-ips-scanning-postfix-logs/
答案 1 :(得分:0)
检查黑客的IP地址'范围:
https://www.tcpiputils.com/browse/ip-address/212.129.28.14
范围 212.129.0.0/18
然后阻止范围:
iptables -A INPUT -s 212.129.0.0/18 -j DROP
service iptables save