LINUX.ORG.RU
решено ФорумSecurity

Брутфорс или скан?

 ,


0

1

postfix лог: 

postfix/smtpd[14833]: connect from unknown[209.131.201.184]
postfix/smtpd[14833]: lost connection after UNKNOWN from unknown[209.131.201.184]
postfix/smtpd[14833]: disconnect from unknown[209.131.201.184]
postfix/smtpd[14833]: warning: hostname 184.201.131.209.static.egix.net does not resolve to address 209.131.201.184: Name or service not known
dovecot лог: 
pop3-login: Info: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=209.131.201.184, lip=192.168.0.100, session=<+LTcueTpdwDRg8m4>
таких сообщений множество было пока не отфутболил говнюка по ip. Боюсь, что вернется с другого адреса. Это обычный скан или что-то посерьезней?

★★★★

Судя по сообщениям от dovecot'а это тупой бот. Тупой, потому что не понимает, что запрещена авторизация открытым текстом и продолжает перебирать пользователей/пароли.

Боюсь, что вернется с другого адреса.

Настройте fail2ban.

mky ★★★★★
()
Ответ на: комментарий от mky

fail2ban настроен, никак не реагирует он на такие события, это меня и смущает. 

[dovecot-iredmail]
enabled     = true
filter      = dovecot.iredmail
action      = iptables-multiport[name=dovecot, port="http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve", protocol=tcp]
logpath     = /var/log/dovecot.log
maxretry    = 5
findtime    = 300
bantime     = 7200
ignoreip    = 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
Я так понимаю, что он будет срабатывать только на перебор логинов и паролей, а здесь до этого дело не доходит. Поэтому и спрашиваю, насколько это опасно и стоит ли вообще обращать внимание на такой выхлоп?

afanasiy ★★★★
() автор топика
Последнее исправление: afanasiy (всего исправлений: 1)
Ответ на: комментарий от AlexVR

От брутфорса помониторь популярные но не открытые у тебя порты. И всех в топку отправляй.

AlexVR ★★★★★
()
Ответ на: комментарий от afanasiy

fail2ban работает по регулярному выражению, оно должно быть в /etc/fail2ban/filter.d, можно его поправить, чтобы реагировал и на эти попытки.

С другой стороны, особой опасности я здесь не вижу, данный «брутфорс» даже не доходит до ввода пароля. Единственное, что логи забиваются не нужным мусором.

mky ★★★★★
()
Ответ на: комментарий от mky

Спасибо! Как раз то, что я хотел услышать. :)

afanasiy ★★★★
() автор топика
Ответ на: комментарий от mky

особой опасности я здесь не вижу

Ему так сервер рутануть могут, между прочим.

2ТС: Настрой фэйл2бан, чтобы банил таких парней, и время бана побольше поставь.

anonymous
()
Ответ на: комментарий от anonymous

Каким образом «рутануть»? До проверки пароля даже не доходит, dovecot футболит с ошибкой сразу после pop3-команды ″user″.

mky ★★★★★
()
Ответ на: комментарий от anonymous

Лоровские эксперты по security through obscurity в опенсорсном софте?

Что мешает найти дырку в dovecot на локалхосте и единственным запросом заюзать её у тебя?

fail2ban не даёт безопасности.

anonymous
()
Ответ на: комментарий от anonymous

Нормальный buffer overflow требует одной попытки, для каждого сервиса не так много известных дырок, их всех можно проверить параллельно или по очереди, но быстро, так, что fail2ban не успеет среагировать.

Как, по-твоему, на серверах с дырявыми сервисами получают рута?

Собирают у себя аналогичный набор сервисов и долго его исследуют различными атаками и только потом лезут ломать что-либо.

mky ★★★★★
()
Ответ на: комментарий от mky

Каким образом «рутануть»?

«Китайским» методом же:

ТС: таких сообщений множество было

Из отчета службы безопасности:
... по поводу взлома китайцами сервера Пентагона:
1) Каждый китаец попробовал один пароль.
2) Каждый второй пароль был - maodzedun.
3) На 657983241-й попытке сервер согласился что у него пароль - maodzedun.

Sense
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security