Blacklist para bloquear acceso SMTP en cPanel

Hace un par de semanas a un cliente le hackearon la clave de su correo y lo usaron para enviar spam desde China, obviamente que en cuanto fué detectado el problema se solucionó de inmediato bloqueando rangos de IP y el dominio del cliente temporalmente.

Revisando la lista de IP's bloqueadas por el firewall csf que han tratado de utilizar el servidor smtp en diferentes VPS's durante los últimos meses, casi el 90% proviene de China y corresponde a rangos de IP's mas o menos específicos y reiterados.

Para bloquear en forma definitiva el uso de smtp desde esos rangos de IP's, he agregado un blacklist en cPanel :

Exim configuration editor - Access Lists - Blacklisted SMTP IPs - Edit

59.32.0.0/11
113.240.0.0/13
116.16.0.0/12
119.112.0.0/12
121.204.0.0/14
124.126.0.0/15
202.96.0.0/12
219.128.0.0/11

Comparto esta información por si a alguien más le pueda interesar

Como voy a estar permanentemente actualizando la lista, podría mantenerla disponible permanentemente en algún lugar de mi sitio si hay interesados.
Todos los rangos de IP los valido personalmente, en este caso son todos chinos.

 

Lista actualizada al revisar más VPS's :

58.16.0.0/13
59.32.0.0/11
61.128.0.0/10
110.152.0.0/14
113.64.0.0/10
113.240.0.0/13
116.16.0.0/12
117.21.0.0/16
119.112.0.0/12
120.64.0.0/13
121.8.0.0/13
121.204.0.0/14
124.126.0.0/15
202.96.0.0/12
219.128.0.0/11
220.160.0.0/11

 

se agradece neocomp el compartir esta info, saludos!

 

Esa es la idea ... estoy haciendo un pequeño programa que va a procesar las listas de logs con las IP's bloqueadas por el firewall csf por reiterados intentos de hackeo al servicio smtp, luego validar los rangos por país y convertirlos a notación CIDR para poder ingresarla en cPanel o algún filtro en otros paneles.

Aunque los principales ataques vienen de China, también son reiterados desde Rusia, Taiwan, HongKong, Korea, Malasia y Rumania, sumando entre todos sobre un 98%.

Si alguien está usando csf y me quiere enviar el archivo csf.deny con mucho gusto lo procesaré y asi aumentamos la base de datos de rangos de IP bloqueadas y tenemos una mejor protección contra estos ataques.

 

una gran iniciativa, a donde te envio el archivo?

 

Dame plazo hasta el próximo Lunes para crear una página dedicada a esto, donde además va a estar toda la información al respecto incluyendo estadísticas de los ataques por países de orígen, las IP's detectadas, los rangos de IP bloqueados, CIDR y obviamente la lista actualizada y validada, como instalarla, tips de seguridad, tips de csf, etc

Voy a tener trabajo el weekend

 

saludos, como te fue con el proyecto?