LINUX.ORG.RU
ФорумAdmin

Dovecot - в логах ошибка авторизаций.

 


0

1

Привет Всем.

Есть такая проблема в Dovecot иногда пушит ошибку авторизаций.

2018-09-15 11:35:36 imap-login: Info: Disconnected (auth failed, 1 attempts in 2 secs): user=<*****@name.server>, method=PLAIN, rip=46.133.238.211, lip=192.168.22.204, TLS, session=<GVPm0uR1bw8uhe7T>
2018-09-15 11:35:49 imap-login: Info: Disconnected (auth failed, 1 attempts in 12 secs): user=<*****@name.server>, method=PLAIN, rip=46.133.238.211, lip=192.168.22.204, TLS, session=</TEU0+R1cA8uhe7T>
2018-09-15 11:38:54 imap-login: Info: Disconnected (auth failed, 1 attempts in 2 secs): user=<*****@name.server>, method=PLAIN, rip=46.133.238.211, lip=192.168.22.204, TLS, session=<Ve6r3uR1dQ8uhe7T>

Как следствие fail2ban заблокирует этот IP.Но на самом деле авторизация идет нормально и пароль правильный. Такое поведение наблюдается на разных OS, у разных клиентах, с разных регионов. Я не могу понять в чем причина...


auth failed
Но на самом деле авторизация идет нормально и пароль правильный

И где правда?

В целом предполагаю что проблема здесь: «method=PLAIN» который в «коте» не включен.

anc ★★★★★
()
Ответ на: комментарий от anc

я нашел причину. Одна из устройство «телефон», учётка была с неправильным паролем. Вот и кидало мой IP в бан, где бы я ни был.

У меня еще один вопрос, боты стали умные и теперь подбирает пароль по imap с разных ip и с большим запасом по времени. Может есть какой-то обновляющийся список бот ip?

macik
() автор топика
Ответ на: комментарий от Twissel

У меня стоит fail2ban и настроен вроде нормально ... Но тут уроды так работают, что раз в сутки могут два раза с одного IP не лезть ... Блокировку сегментов автоматом тоже не поставить ... Иначе буду мобильных операторов блокировать и за смены паролей.

Вижу что сейчас в основном с китайских и корейских сегментов лезут. Может вообще Китай забанить весь?

macik
() автор топика
Ответ на: комментарий от macik

Может вообще Китай забанить весь?

Я знаю, что так делают. По логике ты много не потеряешь.

Twissel ★★★★★
()
Ответ на: комментарий от macik

боты стали умные и теперь подбирает пароль по imap с разных ip и с большим запасом по времени.

Хм, а в этом вообще есть хоть какой-то смысл при достаточной длине и сложности пароля? Всегда считал, что подобные боты представляют угрозу только для любителей паролей вроде qwerty или 12345.

Лично я никогда с fail2ban не связываюсь - хотят подбирать пароли - флаг им в руки... Пока за 20 лет ни разу еще не подобрали ;).

Serge10 ★★★★★
()
Последнее исправление: Serge10 (всего исправлений: 1)
Ответ на: комментарий от macik

Может вообще Китай забанить весь?

Если пользователям от Китая ничего не нужно, то можно, слышал что народ так делает.

anc ★★★★★
()
Ответ на: Бесполезно. от libert0

Бесполезно.
Заражается всё что движется. Ботом может быть любой.

Присоединяюсь.

anc ★★★★★
()
Ответ на: комментарий от Serge10

Хм, а в этом вообще есть хоть какой-то смысл при достаточной длине и сложности пароля? Всегда считал, что подобные боты представляют угрозу только для любителей паролей вроде qwerty или 12345.

В части традиционных ботов, так же поддерживаю. Когда-то ради интереса рассматривал что подбирают, обычные word листы. Кстати в части логина тоже самое.

Лично я никогда с fail2ban не связываюсь - хотят подбирать пароли - флаг им в руки...

А вот тут есть нюансы.
1. Нагрузка больше. Одно дело сразу DROP при соединении, другое все-таки старт процесса.
2. Возможна целенаправленная атака на конкретный ящик (конкуренты и т.п.) т.е. когда принципиально пойдут полным перебором.
Я вот когда-то давно не знал о существовании fail2ban но накалякал нечто подобное используя connlimit на основании его выхлопа в логах так же блокирую ip + неудавшаяся авторизация на существующие ящики по превышении порога так же ip в бан.

anc ★★★★★
()
Ответ на: комментарий от Serge10

Хм, а в этом вообще есть хоть какой-то смысл при достаточной длине и сложности пароля? Всегда считал, что подобные боты представляют угрозу только для любителей паролей вроде qwerty или 12345.

Лично я никогда с fail2ban не связываюсь - хотят подбирать пароли - флаг им в руки... Пока за 20 лет ни разу еще не подобрали ;).

Ну сейчас не подбирают так, как раньше. Они используют базу паролей и таким образом подбирают. У меня генерируются пароли автоматом, но хер его знает?!

Ручной пароль был подобран один раз ... после этого послал всех пользователей лесом ...

macik
() автор топика
Ответ на: комментарий от anc

Нагрузка больше. Одно дело сразу DROP при соединении, другое все-таки старт процесса.

На моем канале (10 Mbit) разница в нагрузке на железо будет, IMHO, незаметна.

Возможна целенаправленная атака на конкретный ящик (конкуренты и т.п.) т.е. когда принципиально пойдут полным перебором.

И что? Считаете реальным подбор нормального пароля при условии известного логина методом случайного перебора?

Serge10 ★★★★★
()
Ответ на: комментарий от macik

Ну сейчас не подбирают так, как раньше. Они используют базу паролей и таким образом подбирают.

Что еще за база? Пользователь выбирает себе пароль, допустим, это будет какая-то фраза (20-30 символов). Как поможет Ваша база паролей?

Ручной пароль был подобран один раз ...

И что это за пароль был, если не секрет? А то у меня тоже, помню, в 1998 г пароль подобрали, когда пользователь ввел собственный логин в качестве пароля ;).

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

На моем канале (10 Mbit) разница в нагрузке на железо будет, IMHO, незаметна.

1. Не факт. Для старта процесса достаточно соединения т.е. всего три пакета.
2. А в целом все зависит от загрузки канала, та же не загруженная 10-ка может «внезапно» проглотить больше чем загруженная почти под ноль 100-ка.

И что? Считаете реальным подбор нормального пароля при условии известного логина методом случайного перебора?

Теоретически почему нет? Если по времени не ограничены. Через год - так через год, через два - так через два... Времена меняются, сервера становятся мощнее, каналы шире.
Хотя конечно по моей практике действуют другими методами, и не факт что узнав один из них, не существует еще несколько о которых не догадываюсь.

И еще в части подбора и конкурентов, очень интересная зарисовка из практики. Начали подбирать пароли к не существующим(это важный момент) ящикам вида имя.фамилия@domain.tld где имя и фамилия это реально работающие сотрудники, т.е. известно что они там работают. Подбирали явно ботами с разных ip, разных стран, и достаточно много лет подобная фигня продолжалась. Точнее один из ящиков нет-нет да встречается до сих пор, а это уже более 10-ти лет.

anc ★★★★★
()
Ответ на: комментарий от Serge10

И что это за пароль был, если не секрет? А то у меня тоже, помню, в 1998 г пароль подобрали, когда пользователь ввел собственный логин в качестве пароля ;).

Гыы. У меня в маилсру темповый ящик, в том смысле что мне пофиг если его взломают, использовал только для тестирования, пароль был 111 (в самом начале можно было ставить любой :) ), наверное больше чем через 10-ть лет только поломали :)

anc ★★★★★
()
Ответ на: комментарий от Serge10

И что это за пароль был, если не секрет? А то у меня тоже, помню, в 1998 г пароль подобрали, когда пользователь ввел собственный логин в качестве пароля ;).

дата рождения сотрудника

Что еще за база? Пользователь выбирает себе пароль, допустим, это будет какая-то фраза (20-30 символов). Как поможет Ваша база паролей?

да куча сервисов было взломано и был получен доступ к паролям. Вот эту базу паролей и использует для взлома ящиков.

pS

вот тут и требование что бы люди не пользовали один пароль для разных сервисов.

macik
() автор топика
Ответ на: комментарий от anc

Через год - так через год, через два - так через два..

Считать, конечно, надо, но вроде как там речь не о годах идет, а о тысячелетиях ;). Да и просто прикиньте стоимость подобной атаки - гораздо дешевле и эффективнее применить методы социальной инженерии или вообще терморектального криптоанализа ;).

начали подбирать пароли к не существующим(это важный момент) ящикам вида имя.фамилия@domain.tld где имя и фамилия это реально работающие сотрудники, т.е. известно что они там работают.

Да, тоже регулярно с таким сталкиваюсь. Но поскольку проблем это не создает, просто игнорирую эти попытки.

Serge10 ★★★★★
()
Ответ на: комментарий от macik

вот тут и требование что бы люди не пользовали один пароль для разных сервисов.

Ясно, спасибо. Неужели еще остались сервисы, хранящие в явном виде пароли пользователей?

А так-то требование вполне очевидное. Я, по крайней мере, давно уже не сталкивался с сотрудниками, которые этого не понимают...

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Считать, конечно, надо, но вроде как там речь не о годах идет, а о тысячелетиях ;)

Я и написал «теоретически» :) А с учетом вашего варианта «20-30 символов» это пока действительно надолго.

Да и просто прикиньте стоимость подобной атаки - гораздо дешевле и эффективнее применить методы социальной инженерии или вообще терморектального криптоанализа ;).

Угу, о чем тоже упомянул.

anc ★★★★★
()
Ответ на: комментарий от Serge10

Вы меня сейчас реально удивили. Уж, простите, но отвечу традиционно, Вас на гугле забанили?

anc ★★★★★
()
Ответ на: комментарий от anc

Уж, простите, но отвечу традиционно, Вас на гугле забанили?

Нет, не забанили, но можно было ведь сэкономить мне время, сформулировав это понятие в двух словах в ответе и послав за подробностями в Google?

Иначе зачем вообще нужен форум - 99,(9)% ответов на вопросы можно в Google найти...

Посмотрел я Wikipedia по диагонали, у меня сложилось впечатление, что эта технология просто оптимизирует расход оперативной памяти в процессах поиска пароля, но не снижает вычислительной сложности задачи.

Предположим, мы утащили базу с хеш-функциями паролей, нам все равно нужно получить таблицу соответствий между паролями и хеш-функциями, чтобы идентифицировать пароли в базе. А это все тот же перебор...

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

но можно было ведь сэкономить мне время, сформулировав это понятие в двух словах в ответе и послав за подробностями в Google?

Дело в том что полноценно в двух словах это не опишешь. А «простой» и возможно не правильно понятый ответ я давать не хотел.
Вот вы прочитали «наискосок» и сделали «не совсем» правильный вывод.

нам все равно нужно получить таблицу соответствий между паролями и хеш-функциями

Нет, таблицы мы уже «давно» сгенерировали, и получив «базу с хеш-функциями паролей» нам остается только задать поиск по ней.

Есть достаточно много годных статей по созданию/использованию радужных таблиц. Повторюсь описывать «в двух словах» это не правильно, если действительно интересно погуглите «не наискосок».

anc ★★★★★
()
Ответ на: комментарий от anc

Нет, таблицы мы уже «давно» сгенерировали

Погодите, насколько я понял, речь идет о таблице соответствий между известными паролями и хешами. Откуда мы ее исходно берем? И какие шансы на то, что искомый пароль вообще окажется в этих таблицах?

Повторюсь описывать «в двух словах» это не правильно

Согласен, но честно говоря, мне не удалось до конца понять даже статью Wikipedia - не хватает базового образования, чтобы серьезно с криптографией разбираться :(.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Откуда мы ее исходно берем?

Скачиваем/генерим_сами

мне не удалось до конца понять даже статью Wikipedia

Попадались статьи в изложении чуть по проще.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Скачиваем/генерим_сами

Ok, список потенциальных паролей откуда? Все так же по словарю, как и при простом переборе?

Шансы, что в него попадет фраза длиной 20-30 символов, стремятся к нулю, IMHO. А раз так, то все дальнейшее смысла не имеет - насколько я понял, метод работает только при условии, что исходный пароль попал в таблицу.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Ok, список потенциальных паролей откуда? Все так же по словарю

Нет, по чистому словарю это гибридный вариант

Шансы, что в него попадет фраза длиной 20-30 символов, стремятся к нулю

Нет, не нулевая вероятность. Но собстно «соль» для этого и придумали.

anc ★★★★★
()
Ответ на: комментарий от anc

Нет, по чистому словарю это гибридный вариант

Хорошо, а помимо словаря откуда потенциальные пароли берутся?

Но собстно «соль» для этого и придумали.

Можно еще идиотский вопрос? Из статьи в Wikipedia я так и не понял, что такое «соль», и зачем она нужна :(.

Прошу прощения, что вместо того, чтобы самостоятельно разбираться в теме, выпытываю Вас. Просто погружаться серьезно в криптографию нет ни времени, ни желания, а какие-то общие представления хотелось бы иметь. Если Вам надоело отвечать на примитивные вопросы, просто скажите, я не обижусь ;). В любом случае, большое спасибо за ликбез.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Просто погружаться серьезно в криптографию нет ни времени, ни желания, а какие-то общие представления хотелось бы иметь.

Я выше написал «Попадались статьи в изложении чуть по проще.» т.е. с описанием более доступным языком. Я тоже не «криптолог» но когда-то так же заинтересовала эта тема. Так что все-таки гугл :)

Там же кстати зачастую и описано почему при использовании соли радужные таблицы уже не работают. Соль - это некое дополнение к хэшу

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.