안녕하세요.
사내에 sendmail을 구축해서 운영 중인데요.
패스워드 무작위 대입으로 인한 공격이 계속적으로 로그에 찍히는데
이럴경우 어떠한 방법으로 접근을 막을 수 있나요?
fail2ban 데몬으로 sshd 접근은 막고 있는데..(이것도 몇주만에 천개 IP가 차단되었네요;;;;)
[maillog]
May 6 13:18:47 mail sendmail[22527]: 0464IdLH022527: [46.38.144.32] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
May 6 13:18:50 mail sendmail[22531]: 0464Ignm022531: [45.142.195.7] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
May 6 13:18:52 mail sendmail[22536]: 0464Il6T022536: [185.143.74.133] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
May 6 13:18:55 mail sendmail[22539]: 0464IobH022539: [185.143.74.49] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
[messages]
May 6 13:18:55 mail saslauthd[8374]: do_auth : auth failure: [user=abdulaziz] [service=smtp] [realm=co.kr] [mech=pam] [reason=PAM auth error]
May 6 13:19:10 mail saslauthd[8374]: do_auth : auth failure: [user=rosy] [service=smtp] [realm=co.kr] [mech=pam] [reason=PAM auth error]
May 6 13:19:10 mail saslauthd[8376]: do_auth : auth failure: [user=oriana] [service=smtp] [realm=co.kr] [mech=pam] [reason=PAM auth error]
May 6 13:19:21 mail saslauthd[8375]: do_auth : auth failure: [user=elaheh] [service=smtp] [realm=co.kr] [mech=pam] [reason=PAM auth error]
May 6 13:19:21 mail saslauthd[8374]: do_auth : auth failure: [user=admin_test] [service=smtp] [realm=co.kr] [mech=pam] [reason=PAM auth error]
[secure]
May 6 13:19:09 mail saslauthd[8374]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
May 6 13:19:18 mail saslauthd[8375]: pam_unix(smtp:auth): check pass; user unknown
May 6 13:19:18 mail saslauthd[8375]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
May 6 13:19:19 mail saslauthd[8374]: pam_unix(smtp:auth): check pass; user unknown
May 6 13:19:19 mail saslauthd[8374]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
로그에 해당 로그들이 계속 쌓이네요 ㅠㅠ
4개의 답변이 있습니다.
메일앞단에 스팸 솔루션을 두셔야 합니다~저희도 지금 도입하려고 준비중인데~스팸메일은 계속해서 변종이 되어서
guest | 4년 이하 전
답변 감사합니다!
특정 소스에 대해 sendmail 스팸 차단하는 방법은
/etc/mail/access file을 vi 등의 편집기로 열어서
72.18.130 REJECT
와 같은 형태로 소스 ip나 네트워크주소, 도메인, 특정 문구, 메일 주소 등등을 등록해서 REJECT나 DISCARD 등록해 준후에,
makemap hash /etc/mail/access.db < /etc/mail/access
와 같이 makemap 명령을 이용해서 차단 DB에 등록 시켜 주고,
/etc/init.d/sendmail restart
등의 명령으로 sendmail 서비스를 재 시작해 주면 됩니다.
DB에 등록된 List를 확인해 보고 싶다면
strings 명령을 사용해서,
strings /etc/mail/access.db 와 같이 명령을 주면 확인 가능하고요.
guest | 4년 이하 전
답변 감사합니다!
db 파일에 등록하고는 있는데 너무 많네요 ㅠ_ㅠ
guest | 4년 이하 전
답변 감사합니다.!
스팸스나이퍼도 알아 봐야 겠네요.
무작위 대입법을 brute force attack이라하는데...
암호를 몇번 이상 반복적으로 잘못 입력하면 일정 시간 접속을 차단하는 정책으로 관리하는게 일반적이죠.
이런 공격에 대해서는 기본적으로 OS에서 정책이 이미 설정되어 있는 상태이고...
암호를 복잡하게 설정하는 것도 하나의 방법이 될 수 있고...
반복적으로 시도하는 source ( ip )에 대해서는 스팸 처리해서 접근 차단을 하도록 만들어야 되겠고요.
인터넷에 노출되어 있는 서버라면 기본적으로 인가되지 않은 접속 시도들이 엄청 많더군요.
UTM 등의 솔루션을 이용하는 것도 방법이 될 수 있을 것 같고...
접근 시도가 반복되는 소스들은 하나 하나 체크해 가며 스팸처리 등으로 접근 차단해버린다면 조금 번거롭긴하지만 큰 어려움이나 많은 시간을 소비하지 않고도 관리가 가능하리라 생각합니다.
guest | 4년 이하 전
답변 감사합니다.!
UTM 솔루션도 확인해 보겠습니다!