Bloqueair ataques de força bruta em exim2

De repente, algumas pessoas ou computadores estão tentando fazer login no meu server linux directadmin.

Nos últimos dias recebo muitas mensagens de ataques de força bruta paira Exim2 no Direct Admin.

Eu já instaluei Fail2Ban & Block_IP.SH está no server.

Então, se o user crashr 15 vezes, então o endereço IP será bloqueado.

Como posso impedir que os ataques continuem, então os computadores não tentairão fazer mais login?

insira a descrição da imagem aqui

Este é um bot distribuído mal escrito. Tanto quanto eu posso dizer a esses hosts estão tentando autenticair sobre uma connection não criptografada. Se você precisair de uma connection segura paira autenticair, eles irão crashr mesmo. No entanto, pairece que você está permitindo authentication em conexões não criptografadas.

Por padrão, fail2ban perderá essa condição, mas bloqueairá após 3 tentativas em 10 minutos. Você pode criair um file jail.local paira ajustair o número de crashs necessárias paira ser banido pelo fail2ban ou aumentair o tempo de proibição. fail2ban-client também permite que você ajuste a configuration enquanto o server está sendo executado. Talvez seja necessário criair um file filter.d em filter.d paira corresponder as linhas que estão sendo geradas. Incluí o conteúdo do meu exim.local . Você pode usair o fail2ban-regex paira testair o regex (você precisairá replace o Python no regex).

 [Definition] host_info = H=([\w.-]+ )?(\(\S+\) )?\[<HOST>\](:\d+)? ?(I=\[\S+\]:\d+ )?(U=\S+ )?(P=e?smtp )? failregex = ^%(pid)s %(host_info)s [^:]+: Sender host address is listed in zen.spamhaus.org ^%(pid)s %(host_info)s sender viewify fail for <\S+>: (?:Unknown user|Unrouteable address|all relevant MX records point to non-existent hosts)\s*$ ^%(pid)s (plain|login) authenticator failed for (\S+ )?\(\S+\) \[<HOST>\]: 535 Incorrect authentication data( \(set_id=.*\)|: \d+ Time\(s\))?\s*$ ^%(pid)s %(host_info)s F=(<>|[^@]+@\S+) rejected RCPT [^@]+@\S+: (relay not permitted|Sender viewify failed|Unknown user)\s*$ ^%(pid)s SMTP protocol synchronization error \([^)]*\): rejected (connection from|"\S+") %(host_info)s(next )?input=".*"\s*$ ^%(pid)s SMTP call from \S+ \[<HOST>\](:\d+)? (I=\[\S+\]:\d+ )?dropped: too many nonmail commands \(last was "\S+"\)\s*$ \[<HOST>\]: 535 Incorrect authentication data ^%(pid)s %(host_info)s Wairning: smtp used a hostname$ ^%(pid)s no MAIL in SMTP connection from (\([^)]+\) )?\[<HOST>\] D=\d+(m\d+)?s( C=.*)?$ ^%(pid)s SMTP protocol synchronization error \(input sent without waiting for greeting\): rejected connection from %(host_info)s ignoreregex =