Aumento nos ataques e recebimento de Spam

[dbbrito]

Olá amigos, outra coisa que gera muito acesso ao servidor são as tentativas de ataques de força bruta tentando quebrar a senha de smtp e ftp, e vem de diversos países a todo momento, vocês costumam usar a opção CC_DENY de bloquear países do CSF ou somente deixa ele ir bloqueando automaticamente alguns ips por tentativas de acesso?

[chuvadenovembro]

Aqui eu não uso CC_DENY não, eu tenho um script que faz o bloqueio de um bloco inteiro quando muitas conexões de um range de ip começam a drenar recursos do servidor...Esse meu script monitora somente as portas 80 e 443, mas em breve devo atualizar ele para outras portas também porque recentemente tive um ataque na porta do mysql também.

[LtiWeb Soluções]

Eu Proponho uma criação de um tópico somente para falar sobre isso... porque ai tem pano pra manga heim...

Essa "treta" com bruteforce Cphulk e firewall é uma coisa que me persegue a muito tempo, e já tentei diversas ferramentas distintas para tentar mitigar ao máximo essas pragas... até mesmo firewall pago rodando fora do servidor. Mais falhei em quase todas as tentativas, por fim retornei as bases e hoje criei algumas regrinhas relativamente "simples" que ajudaram MUITO a minha vida.

1º- Com Firewall eu bloqueio o acesso a uma Lista de países e essa parte foi a que me deu dor de cabeça, pois ao bloquear completamente o país você bloqueia possíveis servidores rodando lá a enviar e-mails para seus servidores também, então isso foi um serviço cuidadoso que tive que fazer aos poucos

2º- Foi bloquear qualquer tipo de "acesso / Login" a qualquer país que não tenha realmente algum cliente fisicamente acessando, isso me gera um certo transtorno as vezes pois clientes viajam para países e tenho que desbloquear esporadicamente.

3º- e talvez o mais importante de todos, foi criar uma regra no nft colocando DROP no Bloqueio da tmpbam do Cphulk, dessa forma todo IP que for pego na blacklist ou se for pego com "10" no meu caso tentando fazer login inválido, Já toma um DROP e fica sem enxergar nada do meu servidor...   De todas essa foi a que me deu mais alegria pois reduziu fora de sério as tentativas de ataque.

Minha média sempre foi coisas em torno de 20 a 30 mil ataques / dia ,  depois que eu criei essa regra onde o IP já vai direto pro DROP caiu para 900 / 1.200 no máximo. isso foi um recuo de 99% Estatisticamente falando consegui "zerar" os bruteforce que realmente ofereciam algum Risco.

 

@dbbrito esqueci de citar

[dbbrito]

9 minutos atrás, LtiWeb Soluções disse:

Eu Proponho uma criação de um tópico somente para falar sobre isso... porque ai tem pano pra manga heim...

Essa "treta" com bruteforce Cphulk e firewall é uma coisa que me persegue a muito tempo, e já tentei diversas ferramentas distintas para tentar mitigar ao máximo essas pragas... até mesmo firewall pago rodando fora do servidor. Mais falhei em quase todas as tentativas, por fim retornei as bases e hoje criei algumas regrinhas relativamente "simples" que ajudaram MUITO a minha vida.

1º- Com Firewall eu bloqueio o acesso a uma Lista de países e essa parte foi a que me deu dor de cabeça, pois ao bloquear completamente o país você bloqueia possíveis servidores rodando lá a enviar e-mails para seus servidores também, então isso foi um serviço cuidadoso que tive que fazer aos poucos

2º- Foi bloquear qualquer tipo de "acesso / Login" a qualquer país que não tenha realmente algum cliente fisicamente acessando, isso me gera um certo transtorno as vezes pois clientes viajam para países e tenho que desbloquear esporadicamente.

3º- e talvez o mais importante de todos, foi criar uma regra no nft colocando DROP no Bloqueio da tmpbam do Cphulk, dessa forma todo IP que for pego na blacklist ou se for pego com "10" no meu caso tentando fazer login inválido, Já toma um DROP e fica sem enxergar nada do meu servidor...   De todas essa foi a que me deu mais alegria pois reduziu fora de sério as tentativas de ataque.

Minha média sempre foi coisas em torno de 20 a 30 mil ataques / dia ,  depois que eu criei essa regra onde o IP já vai direto pro DROP caiu para 900 / 1.200 no máximo. isso foi um recuo de 99% Estatisticamente falando consegui "zerar" os bruteforce que realmente ofereciam algum Risco.

 

@dbbrito esqueci de citar

Já tenho 11 países bloqueados aqui, mas são países que nenhum cliente nunca me reclamou e só tentam ataques mesmo, um que eu fico muita vontade de bloquear é a Alemanha, mas muita gente hospeda diversos serviços na Hetzner, realmente tem que ter cuidado mesmo quando se trata de país.

[LtiWeb Soluções]

O mais TOP foi descobrir que eu tenho um monte de cliente que troca e-mails com a china kkkkkkkkkkkkkkkkk eu bloqueei eles num dia no outro tive que desbloquear pois tive uma enxurrada de reclamação kkkkkkkkkkk

[dbbrito]

5 minutos atrás, LtiWeb Soluções disse:

O mais TOP foi descobrir que eu tenho um monte de cliente que troca e-mails com a china kkkkkkkkkkkkkkkkk eu bloqueei eles num dia no outro tive que desbloquear pois tive uma enxurrada de reclamação kkkkkkkkkkk

Aqui a China é bloqueada e nunca tive reclamação, eu achava que os emails do aliexpress vinham de lá, mas na verdade vem com ips de singapura. A enxurrada de ataque que vem da china é impressionante...

[dbbrito]

Em 05/02/2025 em 11:25, chuvadenovembro disse:

Lendo a documentação melhor do DA ontem, o arquivo /etc/virtual/blacklist_domains quando atualizado, não precisa de reinicio do exim, desta forma da para atualizar varias vezes por dia...

https://docs.directadmin.com/other-hosting-services/preventing-spam/incoming-spam.html#exim-spamblocker-blacklist-and-whitelist-files

Realmente, não precisa reiniciar o exim!

[chuvadenovembro]

49 minutos atrás, dbbrito disse:

Realmente, não precisa reiniciar o exim!

Com essa conveniência, consigo atualizar mais rapidamente aqui, já tenho quase 600 domínios bloqueados, alguns tld exóticos e o problema de spam aqui foi totalmente resolvido, ta passando um ou outro que decidi não pegar p/ não gerar falso positivo e gerar suporte.

[dbbrito]

Aqui acabei tendo que bloquear todo o tld sbs, mas também o domínio custa 5 reais, complicado, a maioria compra pra aplicar golpes, dezenas de nomes com tld sbs, incrível.....acho que esse pessoal nem dorme rsrs

[chuvadenovembro]

2 minutos atrás, dbbrito disse:

Aqui acabei tendo que bloquear todo o tld sbs

Depois desse tld, aqui, tive que bloquear todos esses:

- *.coupons
- *.quest
- *.digital
- *.ch
- *.one
- *.my
- *.biz
- *.today
- *.tienda
- *.agency
- *.top
- *.shop
- *.sbs

To pensando se automatizo via encaminhamento de email a adição desses tlds, esse .quest por exemplo, é o novo sbs kkkkk