解决fail2ban没拦截SMTP扫描的问题
牵马的蜘蛛
收藏于2023-05-26
转藏1次
最近几天,登录查看邮件日志,发现SMTP的扫描还是存在的,但是在fail2ban.log里面,却是没有记录,认真去对照日志以及拦截的规则,才发现一个问题,默认的登录失败,是采用下面的表达式来拦截的:
: warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$
但是maillog的日志里面,基本都是
warning: unknown[192.162.102.45]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
主机都是unknown,也就是没有反向解释的主机,国内的机器,基本都是这样,所以扫描都没被拦截到,于是马上增加一个新的规则,拦截unknown主机:
warning: unknown\[<HOST>\]: SASL LOGIN authentication failed
这样,就可以拦截到了,完整的FAIL2BAN的安装和配置,可以参考下面的文章:
特别重申:本篇文档资料为 “好网角收藏夹” 注册用户(收藏家)上传共享,仅供参考之用,请谨慎辨别,不代表本站任何观点。
好网角收藏夹为网友提供资料整理云存储服务,仅提供信息存储共享平台。
信息删除举报或发邮件到:dongye2016@qq.com
好网角收藏夹为网友提供资料整理云存储服务,仅提供信息存储共享平台。
信息删除举报或发邮件到:dongye2016@qq.com
类似文章
最新转藏文章
文档下载
下载连接中...
返回
TOP