Julio, o script é interessante mas acho que não funcionaria no nosso caso. Pelo que pude ver nos nossos logs, o atacante tenta logar com várias contas todos os dias (deve ter pego os e-mails na internet). Provavelmente ele deve tentar alguma senha simples com todas as contas e as vezes acerta. Pelo log, ele parece fazer duas tentativas por dia.
As opções com fail2ban e o bloqueio no postfix me pareceram mais interessantes no nosso caso. Vou dar uma olhada nisso. Valeu! Em 12/07/2011 20:47, vic escreveu: > Em ter 12 jul 2011, às 13:05:14, Julio Cesar Covolato escreveu: >> Fiz um script que fica monitorando o maillog, se algum user autenticar >> mais de 50 vezes no smtp nas últimas 5000 linhas do log, é bloqueado no >> Mysql. >> Tem um comentário para o Zimbra tb. >> >> http://www.psi.com.br/~julio/postfix/sasl-killer.sh >> >> Qqr dúvida me dê um alô!! >> >> Abs. >> >> ----------------------------- >> _ Julio Cesar Covolato >> 0v0<ju...@psi.com.br> >> /(_)\ F: 55-11-3129-3366 >> ^ ^ PSI INTERNET >> ----------------------------- >> > Use o fail2ban, ele monitora seus logs e bloqueia o endereço IP que tiver > falhas no login (sasl, pop3, etc.) Tudo bem configurável. > > Além disso, configure seu postfix para limitar a quantidade de conexões > concorrentes e por minuto de um endereço IP. Você também pode fazer isso por > firewall. > Não é para monitorar falhas!! E sim possível roubo de senhas legitimas, como foi o caso de nosso colega que iniciou essa tread. _______________________________________________ Postfix-BR mailing list Postfix-BR@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/postfix-br
