各位先進: 公司是使用openwebmail 收發信件, 從上星期六開始查看log 發現不正常的使用者嘗試要登入. 星期六星期日有一段時間一直在試著登入. 星期一到星期五(今天)也有零星的情況發生, 這些豋入資料中有二個不同ip, 請問各位應該採取什麼措施. 謝謝大家
已邀請的邦友 {{ invite_list.length }}/5
建議立即採取以下措施:
1.封鎖可疑IP:透過防火牆或Fail2Ban封鎖異常IP。
2.檢查帳號安全:強制所有使用者變更密碼,排查弱密碼帳號。
3.檢查系統日誌:分析/var/log/maillog與/var/log/secure確認是否有成功入侵。
4.升級與修補:確認OpenWebMail及系統已安裝最新安全更新。
5.啟用雙因素驗證(若支援)。
6.限制登入來源IP:僅允許內部或特定IP來源使用webmail
正常,日常,自開信箱主機沒有不開不門走大路的,來自全世界四面八方的駭客、木馬病毒,都會亂槍打鳥找弱雞來暴力破解帳密,帳號就來自於中過毒的電腦所貢獻的電子郵件發信人跟收件人名單,主機也在隨後,排除掉難以攻擊的大信箱主機帳號,其實亂槍打鳥的範圍就可以縮到很小,如果駭客間有流竄黑名單,如果你公司的使用TLS憑證或2FA才能登錄,他們也不會浪費時間TRY你們的主機
與其花時間在IP黑名單,還不如把自家信箱花點心思,使用2FA或憑證登錄,既安全又安心
如果貴公司的信箱使用2FA及TLS/SSL憑證登錄【窒礙難行】,你可以在伺服器上加掛fail2ban(如果你也是使用linux比較新的發行版架郵箱)這可以讓暴力破解的難度加大到沒人想浪費時間一小時只能TRY 5次,你們的被TRY的次數就會開始下降到一小時100次以下,大大降低流量跟被破的可能性了
密碼複雜度在10個英數字大小寫混合的話,基本要暴力猜中的機率可以低到(小寫26+大寫26+數字10)的10次方分之1
基本這已經超過了目前可被計算出來的圓周率的小數點位數了
以每秒TRY 10000次的速度來暴,也要幾千萬年,如果用fail2ban 這些猜錯5次就封IP一小時的做法,他根本不會想在你這台主機上浪費時間
你只要做一件事,寫個SHELL腳本,把所有員工帳號裡的密碼全部隨機化,然後給所有可以登入到你們內網系統的人一個重設密碼的連結,讓他們自設密碼並加上複雜度檢查,保証所有人的密碼都是不容易被暴解的版本,那你犯不著再擔心那些亂槍打鳥的子彈飛來飛去,你另一件要做的事,就是用防火牆對pop3, imap , smtp這些電子郵件埠口做流量縮簡,寧可慢一點也不要開大門走大路,徒增被攻陷的機會
iThome鐵人賽
看影片追技術
看更多
