Buenos días.
Quiero compartir estos con el grupos de usuarios de isp-control.
Hace dias me puse a chequear todos los log del sistemas cosa que siempre hago de vez en cuando y me encuentro de que he recibido ataques de intento de login a los servicios pop e imap.
Aqui una muestra de los log:
Jun 1 22:13:42 hosting-pro postfix/qmgr[1436]: 45857562EC: removed
Jun 1 22:50:05 hosting-pro pop3d: Connection, ip=[::ffff:78.186.248.28]
Jun 1 22:50:05 hosting-pro pop3d: Connection, ip=[::ffff:78.186.248.28]
Jun 1 22:50:06 hosting-pro pop3d: LOGOUT, ip=[::ffff:78.186.248.28]
Jun 1 22:50:06 hosting-pro pop3d: Disconnected, ip=[::ffff:78.186.248.28]
Jun 1 22:50:06 hosting-pro pop3d: Connection, ip=[::ffff:78.186.248.28]
Jun 1 22:50:07 hosting-pro pop3d: LOGIN FAILED, user=test, ip=[::ffff:78.186.248.28]
Jun 1 22:50:10 hosting-pro pop3d: Connection, ip=[::ffff:78.186.248.28]
Jun 1 22:50:11 hosting-pro pop3d: LOGIN FAILED, user=test, ip=[::ffff:78.186.248.28]
Jun 1 22:50:12 hosting-pro pop3d: LOGOUT, ip=[::ffff:78.186.248.28]
Jun 1 22:50:12 hosting-pro pop3d: Disconnected, ip=[::ffff:78.186.248.28]
Jun 1 22:50:14 hosting-pro pop3d: Connection, ip=[::ffff:78.186.248.28]
Jun 1 22:50:14 hosting-pro pop3d: LOGIN FAILED, user=test, ip=[::ffff:78.186.248.28]
Jun 1 22:50:16 hosting-pro pop3d: LOGOUT, ip=[::ffff:78.186.248.28]
Jun 1 22:50:16 hosting-pro pop3d: Disconnected, ip=[::ffff:78.186.248.28]
Jun 1 23:08:54 hosting-pro pop3d: Connection, ip=[::ffff:77.108.111.38]
Jun 1 23:08:54 hosting-pro pop3d: LOGIN FAILED, user=staff, ip=[::ffff:77.108.111.38]
Jun 1 23:08:59 hosting-pro pop3d: Disconnected, ip=[::ffff:77.108.111.38]
Me doy cuenta de que una de las IP como que es de Rusia y usan
http://www.lxcenter.org/ como software de hosting en el servidor de donde vienen los ataques.
Otra de las IP es de Kabul Afganistan.
Para quitarme dicho problema instale fail2ban para los servicios por ahora de smtp, smtps, pop, imap, pops, imaps y ssh y por los momentos he bloqueado los ataques y baneados las ip cuando al 3er intento fallan, son bloqueadas las ip con iptables por 20 minutos.
Viendo la documentación de fail2ban también se puede aplicar para autenticación via web de apache2 (ftp, panel, pma)
Y para proftp puerto 21.