Soru:
Birisi özel posta sunucumu kaba kuvvet (?) Etmeye çalışıyor ... çok ... yavaşça ... ve değişen IP'lerle
Heinzi
2017-11-27 13:22:53 UTC
view on stackexchange narkive permalink

Bu yaklaşık 1-2 gündür devam ediyor: 

  heinzi @ guybrush: ~ $ daha az /var/log/mail.log | grep '^ Kasım 27. * postfix / gönderim. * uyarı' [...] Kasım 27 03:36:16 guybrush postfix / submission / smtpd [7523]: uyarı: ana bilgisayar adı bd676a3d.virtua.com.br şu şekilde çözülmüyor adres 189.103.106.61Nov 27 03:36:22 guybrush postfix / submission / smtpd [7523]: uyarı: bilinmiyor [189.103.106.61]: SASL DÜZ kimlik doğrulaması başarısız oldu: Kas 27 03:36:28 guybrush postfix / gönderim / smtpd [7523 ]: uyarı: bilinmiyor [189.103.106.61]: SASL LOGIN kimlik doğrulaması başarısız oldu: VXNlcm5hbWU6Nov 27 04:08:58 guybrush postfix / submission / smtpd [8714]: uyarı: ana bilgisayar adı b3d2f64f.virtua.com.br 179.210 adresine çözümlenmiyor. 246.79Kasım 27 04:09:03 guybrush postfix / submission / smtpd [8714]: uyarı: bilinmiyor [179.210.246.79]: SASL PLAIN kimlik doğrulaması başarısız oldu: Kasım 27 04:09:09 guybrush postfix / submission / smtpd [8714]: uyarı : bilinmiyor [179.210.246.79]: SASL LOGIN kimlik doğrulaması başarısız oldu: VXNlcm5hbWU6Nov 27 05:20:11 guybrush postfix / submission / smtpd [10175]: uyarı: ana bilgisayar adı b3d0600e.virtua.com.br 179.208.96.14Nov 27 adresine çözümlenmiyor05:20:16 guybrush postfix / submission / smtpd [10175]: uyarı: bilinmiyor [179.208.96.14]: SASL PLAIN kimlik doğrulaması başarısız oldu: Kas 27 05:20:22 guybrush postfix / submission / smtpd [10175]: uyarı: bilinmiyor [ 179.208.96.14]: SASL LOGIN kimlik doğrulaması başarısız oldu: VXNlcm5hbWU6Nov 27 06:42:43 guybrush postfix / submission / smtpd [12927]: uyarı: ana bilgisayar adı b18d3903.virtua.com.br 177.141.57.3Nov 27 06:42 adresine çözümlenmiyor : 48 guybrush postfix / gönderim / smtpd [12927]: uyarı: bilinmiyor [177.141.57.3]: SASL PLAIN kimlik doğrulaması başarısız oldu: Kasım 27 06:42:54 guybrush postfix / submission / smtpd [12927]: uyarı: bilinmiyor [177.141.57.3 ]: SASL LOGIN kimlik doğrulaması başarısız oldu: VXNlcm5hbWU6Nov 27 08:01:08 guybrush postfix / submission / smtpd [14161]: uyarı: ana bilgisayar adı b3db68ad.virtua.com.br 179.219.104.173 adresine çözümlenmiyor
27 Kasım 08:01:13 guybrush postfix / submission / smtpd [14161]: uyarı: bilinmiyor [179.219.104.173]: SASL PLAIN kimlik doğrulaması başarısız oldu: Kasım 27 08:01:19 guybrush postfix / submission / smtpd [14161]: uyarı: bilinmeyen [179.219.104.173]: SASL LOGIN kimlik doğrulaması başarısız oldu: VXNlcm5hbWU6

Her 1-2 saatte bir, her zaman aynı etki alanından, ancak her seferinde farklı bir IP'den tek bir başarısız oturum açma denemesi var adres. Böylece fail2ban'ı tetiklemeyecek ve logcheck mesajları beni rahatsız etmeye başlıyor. :-)

Sorularım:

  1. Bu tür bir "saldırının" amacı nedir? Oran, etkili bir kaba kuvvet uygulamak için çok yavaş ve birisinin özellikle küçük kişisel sunucumu hedef alacağından gerçekten şüpheliyim.

  2. Buna karşı yapabileceğim herhangi bir şey var mı sağlayıcının tüm IP aralığını yasaklamak dışında? Endişelenmeyi bırakıp bu mesajları logcheckime ekleyebilirim, yapılandırmayı yok sayabilirim (şifrelerim güçlü olduğu için), ancak bu daha ciddi saldırıları kaçırmama neden olabilir.

Kişisel sunucunuzun küçük olup olmadığı önemli değil.Yine de botnet için faydalı olabilir.Yavaş hız, herhangi bir tespit mekanizmasını devreye sokmaktan kaçınmak olabilir (yine de bu sadece benim fikrim, sert ifadelerde bulunmayacaktır).Sağlayıcı aralığını yasaklamaya gelince - bu da önemli değil.Botnet'te bol miktarda ips bulunur ve bunlar potansiyel olarak sahtecilik yapar.
Denenen aynı hesap mı yoksa farklı hesaplar mı?
@schroeder: Güzel soru.Başarısız girişimlerin kullanıcı adlarını günlüğe kaydetmeyi etkinleştirdim ve size rapor vereceğim.
@Heinzi bu çok önemli bir bilgi gibi görünüyor.Sahip olduğunuz hesapla aynı hesap değilse, birisi sunucusunu yanlış yapılandırmıştır
@schroeder: Son iki saat içinde denenen kullanıcı adları `info @ '' (1 try),` admin @ '(1 try) ve `AB ` (2 try).Bana klasik kaba kuvvet tahminine benziyor.
Bunu daha önce bal kavanozlarımda görmüştüm."Arka plan radyasyonu".Kaba kuvvet girişimleri çok geniş bir alana yayıldı.Misafirin cevabı muhtemelen doğru olanıdır.
Basit çözüm: [Fail2Ban] (https://www.fail2ban.org/wiki/index.php/Main_Page) özel bir hapishane ve maxretry ayarı 1'e ayarlanmış. Kullandığım şey bu ve iyi çalışıyor.
İlginç bir şekilde, hepsi Brezilya'daki Virtua'nın sahip olduğu bir veri merkezinden geliyor gibi görünüyor.Bu da beni meraklandırıyor, paraya mal olmayan ve kredi kartlarıyla bağlantılı olmayan botları kullanabilseler, sunucular için kim ödeme yapar?
Veri merkezi olarak @Damon Virtua?Sen neden bahsediyorsun?Virtua, bir konut kablolu TV / internet sağlayıcısı olan http://www.netcombo.com.br/'nin eski adıdır.Hatta adreslerin ilk bölümünün müşteri MAC'leri gibi göründüğünü bile görebilirsiniz.
Sağlanan LOGIN, "Kullanıcı Adı" için bir kullanıcı adı ve boş dizenin bir şifresi olduğundan, bu varsayılan şifreler için bir tarama gibi görünüyor.
Yeterince küçükseniz, cihazlarınızın e-postayı kontrol edebileceği her ip ağ bloğunu beyaz listeye alabilirsiniz.Bu, cep telefonunuza atanan herhangi bir IP bloğu olabilir ve IP, kablosuz alabileceğiniz (arkadaşlar, işyeri vb.) Veya yalnızca hücresel veride kalabileceğiniz uzak sitelerden değişir.Ev ortamından daha büyük bir şey için gerçekten tavsiye edilmez.
Diğer bir kirli azaltıcı, IPv4 bağlantılarına izin vermemek ve her iki ucunda da sahip olduğunuzu varsayarak yalnızca IPv6 aracılığıyla posta kontrollerine izin vermektir.Komut dosyası çocukları yalnızca IPv4 bağlantılarına odaklanma eğilimindedir.
@Heinzi Saldırı, Virtua bağlantılı bir ana bilgisayardan geliyorsa, sürekli değişen IP'leri görmenizin nedeni budur.Bu bağlantı, kullanımın ortasında sebepsiz yere IP'leri aniden değiştirmesiyle ünlüdür ve bazı uygulamalar için baş ağrısına neden olabilir.Bu yerel bir bağlantıdır, unutmayın, bu yüzden saldıran makine muhtemelen "komik şeyler" yapmaya çalışan bir ev kullanıcısının botnet'inin parçasıdır.
"Fail2ban" için Google.
@peterh: Lütfen soruyu tekrar okuyunuz, fail2ban zaten belirtilmiştir.
IIUC doğru bir şekilde, saldırıların kendilerinin başarılı olma şansı neredeyse sıfırdır, ancak asıl sorun, günlük denetimini doldurmalarıdır ve muhtemelen diğer daha ciddi saldırıları gizleyebilir.Sağ?
@smci: Kesinlikle.Bu mesajları logcheckime ekleyebilirim, yapılandırmayı yoksayabilirim, ancak o zaman daha ciddi saldırıları kaçırabileceğimden endişeleniyordum.Bununla birlikte, cevapları okuduktan sonra, bu sorunun kolay bir cevabı yok gibi görünüyor ve bu mesajları filtrelemeli ve endişelenmeyi bırakmalıyım.
@Heinzi: tamam ama benim açımdan, yukarıdaki açıklamama göre soruyu düzenlemek ve yeniden ifade etmek istiyorsun.
@smci: Bitti.Mevcut yanıtları geçersiz kılmaktan kaçınmak için değişikliği olabildiğince küçük yapmaya çalıştım.
Beş yanıtlar:
guest
2017-11-27 13:27:31 UTC
view on stackexchange narkive permalink

Bu tür bir "saldırının" amacı nedir? Hız, etkili bir kaba kuvvet uygulamak için çok yavaş ve birisinin özellikle küçük kişisel sunucumu hedefleyeceğinden gerçekten şüpheliyim.

Hız yavaş veya toplam gönderilen verilerin miktarı az mı? Bağlantıları çok nadir görüyor olabilirsiniz, ancak kaba zorlamayı yapan botların sürekli olarak yukarı bağlantılarını doyurmadığını ve sitenizin saldırıya uğrayanlardan sadece biri olduğunu nereden biliyorsunuz? Bir saldırganın, her bir sunucunun yalnızca seyrek bağlantıları gördüğü çok sayıda sunucuya aynı anda saldırmaya kıyasla, her seferinde bir sitenin peşinden giderek kısa bir süre geçirmesinin (ve fail2ban'ı tetiklemesinin) hiçbir avantajı yoktur. Her ikisi de saniyede aynı oranda giden kimlik doğrulama girişimlerine sahip olabilir.

Sağlayıcının tüm IP aralığını yasaklamak (veya şifrelerim güçlü olduğu için mesajları görmezden gelmek) dışında buna karşı yapabileceğim herhangi bir şey var mı? ?

Olası değil. Şanslar, bunlar bir botnet'ten veya düşük maliyetli VPS'ler kümesinden geliyor. Sadece bunlardan birkaçını görerek başka hangi IP aralıklarının kullanıldığını belirlemek mümkün değildir. Aynı alt ağda değillerse tahmin edilemezler. Bu bağlantıları güvenle göz ardı edebilirsiniz. İnternetin arka plan gürültüsünden başka bir şey değil.

1 deneme / saatte, bir hesaptaki en yaygın 100 parolayı hiçbir şeyi tetiklemeden denemek yaklaşık 4 gün sürer ... Botnet oluşturan biri için bu tür bir saldırının büyük bir geri dönüşünü görebiliyorum ...
Yönetici şifresini daha önce denedikleri bir şifreyle değiştirebilirsiniz.Bu onları tuzağa düşürür.
@Caterpillaraoz Yani, en yaygın 100 şifreden oluşan bir listeden seçilen bir şifre ile uzaktan erişime karşı güvenli bir şekilde sunucuları çalıştırmamamızı öneriyorsunuz?
@Caterpillaraoz Kaç sunucuya isabet ettiklerini bilmiyorsunuz.4 gün içinde ilk 100 şifreyi 30.000 posta sunucusuna gönderirlerse, büyük olasılıkla birkaçına ulaşmışlardır.
Hepimizin "beyzbol" kullanmasını öneriyorum!parola olarak: P @Qwertie bu, binlerce sunucuda "yavaş gidiyor" ve pek çok hesaba çarpıyor, meraktan şirketimin F **** G'sinde varsayılan yönetici olarak SSH'yi denedimVERİTABANI ve içeri girdi ....
Parolalar iyi olmasaydı yaygın olarak kullanılmazdı, değil mi?
@StigHemmer Bu nedenle işletmeler çoğunlukla "Password123!"
@James_pic: Password123'ü asla tahmin etmem. Genellikle Admin, admin ve root'tan sonra vazgeçerim ve şifreyi gerçekten bilen birine sorarım
Küçük bir sıkıntı yaratabilecek bir şey, ana makinenize karşı başarısız bir parola girişiminin yanıt süresinin artmasıdır.
@Christian Apple sayesinde kök, bugünlerde birçok Mac için oldukça harika bir tahmin.
Kullanıcı adı olarak @Daniel
David Rouse
2017-11-27 19:32:18 UTC
view on stackexchange narkive permalink

Soru 1 - Yanlış bir yapılandırma olmadığı sürece (yorumlarda belirtildiği gibi), deneyimlerime göre bunlar, istenmeyen ticari e-postaların (veya kimlik avı girişimlerinin) gönderilebileceği hesapları arayan otomatik saldırılar gibi görünüyor.

Soru 2 - Meşru girişlerinizin geldiği IP aralığı bilinebilir ve yeterince küçükse, bu aralıklar dışındaki her şeyi engellemek daha kolay olabilir.

Küçük bir işletme e-postasını yönetiyorum sunucu, bu tür bir araştırma bizim için neredeyse sürekli olarak gerçekleşir.

Tiberiu-Ionuț Stan
2017-11-28 03:51:13 UTC
view on stackexchange narkive permalink

Her 1-2 saatte bir 1 deneme? Bu kaba bir güç değil.

Belki şifresi süresi dolmuş birinin iPhone'u olabilir. Muhtemelen sizindir! Veya, bir barındırma şirketinin IP adreslerini yeniden kullanıyorsanız, önceki "sahip" hala bir yerlerde bir e-posta istemcisine sahip olabilir, [şimdi] IP'lerinize gidecek şekilde yapılandırıldı.

IP adreslerine sahipseniz, yapabileceğiniz en az şey onları takip etmektir.

VXNlcm5hbWU6 görünüşe göre "Kullanıcı Adı" nın base64 kodudur ve Postfix kodlanmış bir bilgi istemi olarak göndermektedir."AUTH LOGIN" ile ilgili bir şey (çok sayıda google hiti)
@infixed Evet, bu dize AUTH LOGIN mekanizmasının standart bir parçasıdır.AUTH LOGIN'de her şey, her iki yönde de base64 olarak kodlanmıştır.Bu kodlamanın altında değişim basittir: (1) sunucu "Kullanıcı Adı" gönderir (2) istemci kullanıcı adını gönderir (3) sunucu "Parola" (4) istemci şifre gönderir.(Dizenin günlük dosyasındaki varlığının istemcinin aslında kullanıcı adı olarak "Kullanıcı Adı" gönderdiğini gösterip göstermediğini merak etsem de ...)
Her 90 dakikada bir 30.000 sunucuya ulaşırsanız, hala saniyede 5,5 istek olur, evet, bu kaba kuvvettir.
Kaba kuvvet, hızla ilgili değil, yaklaşmakla ilgilidir.Tarif edilen saldırı, hızı daha ziyade "nazik nezaket" ile çağrışımlara neden olsa da, kesinlikle "kaba kuvvet" i oluşturur.
Yakk
2017-11-28 01:58:53 UTC
view on stackexchange narkive permalink

Bir sisteme tekrar tekrar girmeye çalışan standart mevcut IP yasaklama uygulaması, yalnızca hedeflenen saldırılara karşı işe yarar.

Bir botnet, çok sayıda sunucu bulabilir ve hem saldırıyı kimin hem de kimin yaptığını dağıtabilir. botnet arasında saldırırlar. Belirti, biri başarılı olana kadar sisteminize karşı başarısız oturum açma girişimlerinin arka plan düzeyinde olacak ve bu noktada, sisteminizi botnet'e ekleyerek root'a yükselen bir kit dağıtacaklar.

Siz buna karşı çok az yolla savunma yapabilir.

Güçlü parolalar olası bir savunmadır, ancak sisteminizi parola tabanlı olmayan saldırılara karşı başka şekilde güvende tutmakla eşleştirilmeleri gerekir. Oturum açma sisteminizde bir arabellek taşması / yetersizlik saldırısı olduğunu varsayalım; botnet bu saldırıyı yapacak şekilde değiştirilebilir ve sizinki de dahil olmak üzere dakikada 1000 sistemi köklendirebilir.

Diğer bir savunma belirsizlik olabilir. Bu tür saldırılar düşük sarkan meyvelerin peşinden gider. Oturum açma sisteminizi, oturum açma girişimlerine izin vermeden önce belirli bir bağlantı noktası numarasına bir ping gerektirecek şekilde değiştirin. Bu tamamen belirsizliktir, ancak aniden orada oturum açacak bir yer varmış gibi görünmeyi bırakır. Maliyet, artık uzaktan oturum açmak için belirli bir ping oluşturmanız gerektiğidir. Veya uzaktan oturum açmanıza izin verilen birkaç IP adresini beyaz listeye ekleyebilirsiniz.

Son ve son derece zor bir yaklaşım, dağıtılmış bir botnet şifre kırma sistemi algılayıcısı oluşturmak olabilir. Sistemlerin kendilerine saldıran IP adreslerini takip etmesi gibi, dağıtılmış bir sistem de herhangi birine saldıran botnet'leri takip edebilir. Bir güven akışı sistemi yaratırsanız, bu tür şifre kırma botnetlerini tespit edip herkesin onları engellemesini sağlayabilecek bir altyapı oluşturabilirsiniz.

Böyle bir çaba yıllarca çalışmayı gerektirir ve muhtemelen başarısız olur. Ancak bu, yapabileceğiniz bir şey.

Bununla ilgili daha fazla bilgi için, [Hail Mary Cloud] (http://bsdly.blogspot.co.uk/2013/10/the-hail-mary-cloud-and-lessons-learned.html) hakkında okuyun.
@JdeBP Bu kısa yorumdan bir yanıt alabilir misiniz?"Hail Mary Cloud" terimiyle bir cevap ve verilen referans burada olmalıdır.
Harry McGovern
2017-11-28 21:03:51 UTC
view on stackexchange narkive permalink

SASL PLAIN kimlik doğrulaması başarısız oldu: andb3db68ad.virtua.com.br, 179.219.104.173 adresine çözümlenemiyor

Herhangi bir kullanıcı için PLAIN kimlik doğrulamasını etkinleştirmediyseniz, iyi olmalısınız. Ek olarak, bu: b3db68ad.virtua.com.br 179.219.104.173 adresine çözümlenmez, kullanılan IP'ye çözümlenmediği için alanların sahte bir alan adı olduğunu belirtir. Başka bir başarısızlık. Bu tür şeyleri yasaklamak için Postfix yazım kuralları ile çok zaman harcayabilirsiniz, ancak sonunda harcadığınız zaman sisteminizin yükünden çok daha ağır basar.

Daha güvenli kimlik doğrulama yöntemleri (hashing + - kerberos), yalnızca parolanın yol boyunca bir yerde koklanmasını veya günlüklerden korunmasını sağlar; bu, parolanın muhtemelen diğer sistemlerde yetkilendirme için merkezi bir oturum açma yoluyla kullanıldığı kullanıcıyı korur. Yani o iyi olmayacak!Kaba kuvvet, şifre testinin ne kadar güvenli olduğuna bakılmaksızın, bir çeşit karma + sorgulama yaklaşımı kullanan Kerberos ile bile (ağ üzerinden yeniden kullanılabilir bir karma bile göndermemek için) hala çalışıyor.


Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...