El 26/08/08, J.M.Queralt escribió:
En general yo acostumbro a pasar, aunque ensucien en exceso el "logwatch" ya que normalmente son ordenadores domésticos "zombies".
Si sólo fuera envío de spam... pero intentos automatizados de acceso a cuentas pop3 no me hace ninguna gracia :-(
Sin embargo cuando se trata de servidores infectados,SI que acostumbro a mandar un correo al administrador de la red de donde proviene el ataque con alguna parte "demostrativa" del "log" y la petición de que haga cesar la actividad maliciosa.
Normalmente la respuesta es positiva ya que se trata de servidores de proveedores medios o grandes que no buscan ni quieren mala fama.
Sí, tienes razón. Les voy poner al corriente para que al menos lo sepan.
Lo que si hago es bloquear las IP's atacantes para evitar los ataques ya que al tratarse de máquinas profesionales acostumbran a disponer de anchos de banda considerables que pueden afectar al rendimiento de la máquina propia.
En los ataques al servidor SSH, en SuSE, utilizo un script que hace años puso Carlos E.R. en la lista y en el que puedes limitar los intentos de conexión, bloqueando el acceso durante X minutos a quienes los sobrepasen fallando la contraseña.
El script se podría adaptar para hacer lo mismo en el puerto del POP3 en lugar del puerto del SSH
Hum... supongo que cambiando el puerto del 22 al 110 serviría. Lo que no veo claro en esa regla es cómo detecta que el login es fallido. Tengo usuarios con ip fija que conectan cada poco tiempo y de continuo al servidor de correo para comprobar la cuenta ¿no les afectaría este script? :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org