Выводим top-20 ip-адресов с которых безуспешно пытались залогиниться в почтовый ящик на серверах с Exim
Выводим top-20 ip-адресов с которых безуспешно пытались залогиниться в почтовый ящик на серверах с Exim¶
Бывает, что с нескольких IP кто-то активно пытается сбрутить пароли почтовых ящиков, расположеных на сервере.
По хорошему, такие IP должны быть заблокированы правилом в fail2ban.
Но, если нам необхоимо только узнать, с каких IP наблюдалось наиболее количество неудачных попыток аутентификации, достаточно сделать
grep 'Incorrect authentication data' /var/log/exim/main.log|perl -nle 'print "$1" if /.*\[(\d{1,3}\.\d{1,3}.\d{1,3}.\d{1,3})\]/g'|sort|uniq -c|sort -n|tail -20