LINUX.ORG.RU
ФорумAdmin

Помогите разобратся с чтением лога Postfix.

 , ,


0

2

Есть такая история. Недавно меня хакнули. Каким то образом подобрали пароль к почтовому ящику на корпоративном сервере. Хотя стоит fal2ban на 5 попыток и в бан. Но как то смогли. Ящики правда старые, давно уволенных сотрудников. Я начал проверяль лог, благо активность обнаружили относительно быстро. Он 12 в 23 часа тест отправили, а рассылку начали через час, 13-го в 17 часов я ужу закрыл ящик. После этого я начал логи шустрить ...

поясните мне что это значит?

 Dec 13 20:45:49 mail postfix/smtps/smtpd[33066]: warning: unknown[200.66.122.189]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 

ВОт этот текст «UGFzc3dvcmQ6»


Ответ на: комментарий от targitaj

И что, понятно что «не смогли». А вот текст UGFzc3dvcmQ6 Это что? Этот текст у многих IP одинаковый

macik ()
Последнее исправление: macik (всего исправлений: 1)
Ответ на: комментарий от Twissel

Очень интересно. Блин. Я аж припух. еще есть Username VXNlcm5hbWU6 ....

ОК

Может кто подскажет правило для fai2ban log

warning: unknown[189.51.111.73]: SASL LOGIN authentication failed:
правило думаю такое
^%(__prefix_line)warning: unknown\S+\[<HOST>\]: SASL LOGIN authentication failed:

macik ()
Ответ на: комментарий от macik

Нашел правильный вариант. Первый не подходит. fal2 ругается

warning: [-._\w]+[]: SASL PLAIN authentication failed:

macik ()

А как можно посмотреть к какому email пытаются подобрать пароль??

macik ()
Ответ на: комментарий от macik

Нашел правильный вариант. Первый не подходит. fal2 ругается

На это правило fail2ban ругаться не будет. Но, и работать оно не будет.

Чтобы слепить правило iptables, файлтубану нужен IP заsранца:

\[<HOST>\]
В твоем варианте его нет.

Bootmen ★★☆ ()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Да, первый вариант не работает. Второй то что надо

warning: [-._\w]+[]: SASL PLAIN authentication failed:
Работает как часы, пошел бан по полной. Они уроды ботнет используют. две попытки и смена IP! Уменьшил до двух попыток. И iptables начал пополнятся.

macik ()
Ответ на: комментарий от macik

Уменьшил до двух попыток.

Если сервер стоит в датацентре, а твой внешний айпи не прописан в исключениях, то через некоторе время ты обнаружишь в бане сам себя из-за того, что кто-нибудь из пользователей неправильно введет пароль. Но даже применительно к обычным внешним пользователям две попытки это мало.

У тебя есть две крайности, первая это open-relay, вторая это запретить файрволу принимать вообще любые соединения и тогда сервер в безопасности, но пользоваться им никто не может. Стремясь оградить сервер от ботнета, надо думать и о пользователях и держать баланс.

constin ★★★ ()
Ответ на: комментарий от constin

Боты достали. У меня вообще круче:

action      = route
findtime    = 21600
maxretry    = 1
bantime  = -1
logpath     = /var/log/mail.log 
Мои узеры настраивают почтового клиента не чаще одного раза. Если клиент криворук, то я ему содействую по удаленке. И я всегда у них на связи. Зато сервер не долбят. Причем ВСЕ сети узеров вношу в игнор. Ясный перец в игнор не попадут польские или бразильские IP.

:)

Bootmen ★★☆ ()
Последнее исправление: Bootmen (всего исправлений: 2)
Ответ на: комментарий от Bootmen

bantime = -1

Хорошо, что ты не администратор gmail)) Но если клиентов устраивает, то почему бы и нет. Хотя ты в скором времени забанишь так все сетки датацентов и твой сервер начнет иногда не пропускать честные коннекты.

constin ★★★ ()
Ответ на: комментарий от Bootmen

Ну у меня не вариант IP адреса ставить в исключения. Пользователи шастают по всему миру и их не отследить. Обычно у всех настроены клиенты моими специалистами, если кого и за банило то можно и позвонить.

macik ()
Последнее исправление: macik (всего исправлений: 1)
Ответ на: комментарий от macik

Нашел на просторах лучший вариант. А то я что то поспешил с хвалебной одой к моему варианту.


(?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed(: [A-Za-z0-9+/ ]*)?$

macik ()
Ответ на: комментарий от constin

Хотя ты в скором времени забанишь так все сетки

Раз в месяц я устраиваю «амнистию»: перезагружаю сервер и все баны слетают.

:)

Bootmen ★★☆ ()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от macik

кстати, насчет iptables. Переводи работу fail2ban на использование ipset.

targitaj ★★★★★ ()
Ответ на: комментарий от macik

Это всем очень интересно, держи в курсе. Хотя нет, лучше научись писать regex сам.

моими специалистами

могу только догадываться какой скилл у этих специалистов.

constin ★★★ ()
Последнее исправление: constin (всего исправлений: 1)

iptables наполняется не хило ....

49.88.192.121  
189.51.112.166 
49.88.194.155  
95.213.184.193 
187.120.109.173
94.136.143.136 
177.44.26.172  
177.87.222.182 
186.249.20.117 
93.126.5.134   
46.34.180.73   
151.234.195.101
117.92.165.15  
179.108.247.105
37.239.78.195  
46.37.124.36   
177.128.159.20 
14.20.155.96   
138.122.48.73  
177.55.146.232 
190.122.134.208
37.236.132.21  
103.193.203.67 
49.88.152.145  
5.149.94.153   
177.221.107.140
190.196.228.120
114.235.249.121
180.124.40.8   
212.79.179.28  
46.37.121.120  
49.88.155.69   
177.129.247.86 
46.33.101.14   
110.234.68.131 
84.41.123.25   
177.129.247.23 
49.88.153.35   
177.66.229.24  
114.237.65.71  
187.120.104.66 
212.79.176.73  
186.216.115.14 
186.190.169.167
62.233.65.113  
177.66.228.97  
190.228.41.137 
37.236.73.199  
62.233.65.112  
186.235.37.47  
179.189.188.242
189.126.236.159
177.72.14.132  
45.7.180.111   
5.8.240.58     
62.233.65.111  
185.221.152.121
138.118.154.198
200.24.71.160  
177.55.149.168 
64.158.31.142  
187.66.43.34   
190.122.134.193
212.69.15.98   
13.74.145.66   
177.107.105.209
62.233.65.25   
177.125.30.35  
179.189.188.30 
177.130.163.18 
190.122.128.42 
80.250.7.219   
62.233.65.110  
146.185.239.194
146.185.239.194
61.145.213.14  
168.232.85.66  
78.141.94.44   
180.124.41.79  
186.216.114.65 
84.241.24.139  
187.111.154.156
37.236.236.73  
186.220.224.114
170.254.44.127 
187.17.231.176 
170.246.239.145
49.82.192.182  
170.246.238.18 
170.254.46.11  
189.90.100.207 
122.4.254.54   
186.190.169.46 
187.39.46.92   
177.55.148.117 
195.78.45.80   
114.237.154.41 
37.239.207.169 
91.232.21.8    
186.235.42.236 
196.192.172.93 
177.75.146.169 
200.59.195.54  
200.23.231.238 
187.67.100.72  
200.114.64.6   
187.37.61.101  
187.111.49.28  
186.220.27.242 
85.25.246.85   
85.25.246.83   
85.25.246.69   
85.25.243.93   
85.25.243.92   
85.25.243.123  
85.25.226.216  
85.25.226.204  
84.38.129.5    
80.86.87.181   
80.211.242.10  
78.46.40.157   
78.46.40.155   
77.120.120.231 
76.126.128.47  
62.76.43.42    
62.76.184.64   
62.75.236.206  
62.75.236.205  
62.75.236.204  
62.233.65.23   
62.233.65.22   
62.233.65.109  
62.233.65.108  
59.124.113.93  
58.61.140.186  
5.9.60.29      
5.9.60.19      
5.9.35.139     
5.9.28.196     
5.9.19.99      
5.9.19.123     
49.88.155.49   
49.88.152.32   
49.82.192.99   
49.81.156.191  
49.68.107.130  
47.88.15.216   
45.79.74.51    
45.79.220.36   
45.79.162.36   
89.111.110.101 
45.79.103.161  
46.37.108.3    
27.47.232.83   
37.238.217.96  
23.254.204.176 
37.236.155.233 
213.239.196.113
200.66.122.51  
213.109.75.103 
195.78.44.163  
190.196.226.154
200.242.218.2  
190.183.212.59 
200.117.239.89 
190.122.134.217
193.27.81.12   
189.54.67.31   
193.194.133.13 
189.122.15.187 
192.168.22.48  
187.23.247.119 
186.193.18.10  
187.22.57.168  
185.26.147.23  
187.120.130.114
185.127.25.74  
187.111.154.196
180.124.45.29  
186.216.153.21 
180.124.236.135
185.70.221.1   
180.123.168.20 
179.219.21.79  
177.54.147.12  
179.218.76.31  
176.9.112.60   
179.189.189.21 
176.9.112.42   
179.125.0.218  
176.9.112.221  
177.91.119.208 
176.9.112.198  
177.87.220.253 
176.9.103.91   
177.72.173.201 
176.9.103.48   
177.72.172.253 
175.10.166.40  
177.72.171.22  
175.10.165.35  
177.66.225.182 
174.142.192.45 
177.55.155.209 
144.217.206.86 
177.35.124.191 
144.217.206.112
177.195.38.243 
144.217.160.111
177.142.24.210 
14.20.153.140  
177.130.163.218
121.233.45.197 
170.254.44.16  
117.92.203.191 
170.246.239.227
115.42.181.45  
168.197.6.143  
114.235.250.47 
168.197.6.119  
114.234.82.86  
168.197.219.167
113.117.137.204
103.84.61.63   
103.71.239.61  
103.75.166.90  
103.10.52.83   

macik ()
Ответ на: комментарий от macik

потому что при количестве заблокированных адресов свыше пары тысяч твой fail2ban просто ляжет

targitaj ★★★★★ ()
Ответ на: комментарий от targitaj

Ок, посмотрим в этом направлений. PS вообще он не мой ...

macik ()

Не факт что подобрали (если только пароль не простой), могло и от юзера утечь.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.