設為首頁收藏本站
開啟輔助訪問 切換到寬版

TShopping

 找回密碼
 註冊
NetYea 響應式網頁
RWD 新竹網頁設計		 MyPresent.net
聯盟行銷賺分紅 		綠能購物網 手工藝品、客製化商品 管乾淨 專業 清洗水管
搜索
TShopping»討論區 電腦3C Linux & MAC 自動封鎖暴力破解dovecot pop3 的腳本
返回列表 發新帖
查看: 5191|回復: 3
打印 上一主題 下一主題

[教學] 自動封鎖暴力破解dovecot pop3 的腳本

[複製鏈接]
woff5678
跳轉到指定樓層
1#
發表於 2012-4-17 22:46:04 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
 
Push to Facebook
本帖最後由 woff5678 於 2012-5-2 11:08 編輯

最近SERVER老是被人暴力破解TRY DOVECOT

目的是為了獲得亂發EMAIL的資源

檢視
vi /var/log/secure 檔案

發現一堆TRY SERVER的訊息
  1. Apr 17 05:48:41 dns dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
  2. Apr 17 05:48:44 dns dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
  3. Apr 17 05:48:44 dns dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff:82.8.46.254
  4. Apr 17 05:48:44 dns dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
  5. Apr 17 05:48:47 dns dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
  6. Apr 17 05:48:47 dns dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff:82.8.46.254
  7. Apr 17 05:48:47 dns dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
  8. Apr 17 05:48:49 dns dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
  9. Apr 17 05:48:49 dns dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff:82.8.46.254
  10. Apr 17 05:48:49 dns dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user admin
  11. Apr 17 05:49:30 dns dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown
  12. Apr 17 05:49:30 dns dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff:82.8.46.254
複製代碼
手動封鎖實在太累
所以寫了各SCRIPT腳本
讓黑名單自動寫入 /etc/hosts.deny

建檔名 vi /root/dovecotdeny.sh
  1. #! /bin/bash
  2. cat /var/log/secure|awk '/authentication failure/{print $(NF-1)}'|sort|uniq -c|sed 's/rhost=/ /g'|sed 's/::ffff://g'|awk '{print $2"="$1;}' > /root/blackdovecot.txt
  3. cat blackdovecot.txt |egrep ^[0-9].[0-9]* > /root/blackdovecot1.txt
  4. DEFINE="30"
  5. for i in `cat /root/blackdovecot1.txt`
  6. do
  7. IP=`echo $i |awk -F= '{print $1}'`
  8. NUM=`echo $i|awk -F= '{print $2}'`
  9. if [ $NUM -gt $DEFINE ];
  10. then
  11. grep $IP /etc/hosts.deny > /dev/null
  12. if [ $? -gt 0 ];
  13. then
  14. echo "dovecot:$IP" >> /etc/hosts.deny
  15. echo "vsftpd:$IP" >> /etc/hosts.deny
  16. fi
  17. fi
  18. done
複製代碼
DEFINE="30"是對方IP TRY 30次錯誤就封鎖
再來就是加入排程
crontab -e
  1. 50 * * * * /root/dovecotdeny.sh
複製代碼


 

臉書網友討論
回復

使用道具 舉報

伊伊
2#
發表於 2013-11-10 00:57:28 | 只看該作者
不錯,感謝版主

版主招募中

回復 支持 反對

使用道具 舉報

rxft2080
3#
發表於 2013-11-10 00:57:28 | 只看該作者
感謝版主  


回復 支持 反對

使用道具 舉報

0973002
4#
發表於 2013-11-10 00:57:28 | 只看該作者
支持一下吧  


回復 支持 反對

使用道具 舉報

返回列表 發新帖
*滑块验证:
高級模式
B Color Image Link Quote Code Smilies
您需要登錄後才可以回帖 登錄 | 註冊 |

本版積分規則



Archiver|手機版|小黑屋|免責聲明|TShopping

GMT+8, 2024-4-26 22:25 , Processed in 0.080589 second(s), 19 queries .

本論壇言論純屬發表者個人意見,與 TShopping綜合論壇 立場無關 如有意見侵犯了您的權益 請寫信聯絡我們。

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回復 返回頂部 返回列表