如何屏蔽EHLO ylmf-pc的密码探测行为！

wyl_xp · 发表于 2015-12-28 15:13:00

本帖最后由 wyl_xp 于 2015-12-30 15:33 编辑

   exchange CAS服务器日志有大量的SMTP 密码探测日志,例如：　
．．．．
2015-12-28T06:33:51.876Z,CAS02\Default CAS02,08D305E0005313E2,25,192.168.0.210:25,222.186.27.159:3197,>,535 5.7.3 Authentication unsuccessful,
2015-12-28T06:33:51.876Z,CAS02\Default CAS02,08D305E0005313E2,26,192.168.0.210:25,222.186.27.159:3197,-,,Remote
2015-12-28T06:33:55.704Z,CAS02\Default CAS02,08D305E0005313EE,0,192.168.0.210:25,222.186.27.159:4563,+,,
2015-12-28T06:33:55.704Z,CAS02\Default CAS02,08D305E0005313EE,1,192.168.0.210:25,222.186.27.159:4563,*,None,Set Session Permissions
2015-12-28T06:33:55.704Z,CAS02\Default CAS02,08D305E0005313EE,2,192.168.0.210:25,222.186.27.159:4563,>,220 GSuD Corporation,
2015-12-28T06:33:55.720Z,CAS02\Default CAS02,08D305E0005313EE,3,192.168.0.210:25,222.186.27.159:4563,<,EHLO ylmf-pc,
．．．．
　　
　　　经常触发Ｔarpit ,我将时间设为1分钟，也就是引发......,*,Tarpit for '0.00:01:00', 内容日志。

但也还是导致一些用户长时间锁定（AD设为错10次密码，锁定10分钟）。  根据一年来的观察，密码探测的几乎都是类似上面的 EHLO ylmf-pc 提示，应该是雨林木风系统的中毒克隆电脑，有没有办法检测到回答 ylmf-pc时，就将其屏蔽，免得其试探
用户密码，还导致用户锁定。  exchange不能实现的话，反垃圾网关能实现吗？

钉子 · 发表于 2015-12-29 22:44:39

反垃圾网关好像也没有针对PC Name的，不过建议你咨询一下相关厂商了。

wyl_xp · 发表于 2015-12-30 15:36:55

钉子发表于 2015-12-29 22:44
反垃圾网关好像也没有针对PC Name的，不过建议你咨询一下相关厂商了。

钉子扫地僧这么快回复，倍感亲切！

		自动登录	找回密码
密码			会员注册

[求助] 如何屏蔽EHLO ylmf-pc的密码探测行为！

相关帖子

点评