Nosso servidor da web está passando por um ataque de botnet no Exim.
Nosso servidor é o CentOS e é configurado com BFD (detecção de força bruta que usa o APF para impedir o acesso) para detectar tentativas e bloqueá-las. Esta configuração funciona 99% do tempo, no entanto, desde sexta-feira, estamos sob um ataque de dicionário distribuído para obter acesso a contas de e-mail.
Eu ajustei o BFD para disparar em um único "Autenticação incorreta" no log principal no EXIM e o BFD está sendo executado a cada 30 segundos, no entanto, eles ainda estão passando.
Até agora, mais de mil máquinas foram colocadas na lista negra com o período atualmente definido para uma proibição de 4 dias.
Há alguma outra sugestão sobre o que pode ser feito?
O fail2ban seria melhor que o BFD, pois é executado continuamente? De qualquer maneira, você provavelmente está, pelo menos, reduzindo os riscos de comprometimento de senhas fracas.
Talvez verifique alguns dos endereços IP ofensivos em uma lista de várias RBLs, como o link , e veja se algo como o Projeto Honeypot os pegaria. É claro que a verificação RBL precisa vir antes da autenticação SASL.