Перебирают логины и пасы на серваке

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Перебирают логины и пасы на серваке

Непрочитанное сообщение Cancer » 2009-02-12 21:20:00

Доброго времени суток!

Стоит Exim+Dovecot+Mysql
не подскажете кто нить делал так что бы если например 10 раз ошибка авторизации Dovecot делал паузу на минут 30 минут.

Если это возможно отпишитесь пожалуйста. Да и если можно тоже самое для Exim ' a.

лог километровый, хорошо что сделал отчеты парсинг maillog что бы приходил на ящик.

Код: Выделить всё

Feb 12 20:43:53 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:54 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:54 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:54 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:55 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:43:55 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root>, method=PLAIN, rip=62.129.243.2, lip=192.168.1.44
Feb 12 20:56:39 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:41 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:44 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:47 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:50 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44
Feb 12 20:56:52 mail dovecot: pop3-login: Aborted login (auth failed, 1 attempts): user=<test>, method=PLAIN, rip=196.206.184.38, lip=192.168.1.44

Как правило единственное что я сделал прикрыл IP фаером.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2520 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение ProFTP » 2009-02-12 21:36:08

скрипт смотрит логи, банит в ipfw айпишники которые перебирают, второй скрипт (или первый) через 30мин удалеяет забаненные айпишники из списока
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение zingel » 2009-02-12 21:38:12

Код: Выделить всё

login_process_per_connection = yes
login_processes_count = 2
login_max_processes_count = 10
login_max_connections = 20
...
auth_cache_size = 10485760
auth_cache_ttl = 3600
auth_worker_max_count = 10
#auth_worker_max_request_count = 30
но таймауты он не умеет вроде бы
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение Cancer » 2009-02-12 21:49:14

zingel писал(а):

Код: Выделить всё

login_process_per_connection = yes
login_processes_count = 2
login_max_processes_count = 10
login_max_connections = 20
...
auth_cache_size = 10485760
auth_cache_ttl = 3600
auth_worker_max_count = 10
#auth_worker_max_request_count = 30
но таймауты он не умеет вроде бы

так а что после 10 неудачных коннектов произойдет ?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение zingel » 2009-02-12 21:51:48

пошлёт в попу, вероятно =)
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение Cancer » 2009-02-12 21:56:32

zingel писал(а):пошлёт в попу, вероятно =)

так а потом что будет =), думаю не закроет его на всегда ?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение zingel » 2009-02-12 21:59:46

нужно смотреть в вики довекота
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение Grishun_U_S » 2009-02-24 12:14:53

сделай средствами pf max-src-conn-rate
Изображение

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение paix » 2009-02-24 13:19:04

pf conn-rate в топку. Если запросы с шлюза, зачем честных юзеров блокировать?

решение простое -
bruteblock (freebsd)
fail2ban (linux)

демон парсит логи по заданному критерию и добавляет айпишник в фаер.
With best wishes, Sergej Kandyla

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение Cancer » 2009-02-24 13:36:28

paix писал(а):pf conn-rate в топку. Если запросы с шлюза, зачем честных юзеров блокировать?

решение простое -
bruteblock (freebsd)
fail2ban (linux)

демон парсит логи по заданному критерию и добавляет айпишник в фаер.

Я так понял bruteblock работает токо под ipfw, а нету аналога под pf

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение Grishun_U_S » 2009-02-24 16:34:24

paix писал(а):pf conn-rate в топку.
ой ли?
paix писал(а): Если запросы с шлюза, зачем честных юзеров блокировать?
ну подбери значение, которое не будет блокировать шлюзы.
Изображение

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение paix » 2009-02-24 17:18:39

Grishun_U_S писал(а):
paix писал(а):pf conn-rate в топку.
ой ли?
paix писал(а): Если запросы с шлюза, зачем честных юзеров блокировать?
ну подбери значение, которое не будет блокировать шлюзы.
я устал от этого цирка. Особенно когда брутфорсеры постоянно приспосабливаются, типа 2 попытки каждые 1-5 минут...
Стараюсь внедрять решения, которые будут самодостаточны, без необходимости потом тратить на них время. Врочем это ваше дело, следовать моему совету, или наступать на собственные грабли.
With best wishes, Sergej Kandyla

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение Grishun_U_S » 2009-02-27 10:16:11

paix писал(а): я устал от этого цирка. Особенно когда брутфорсеры постоянно приспосабливаются, типа 2 попытки каждые 1-5 минут...
и сколько миллиардов лет с такой скоростью будет перебираться хотя бы 8 значный пароль?
paix писал(а): Стараюсь внедрять решения, которые будут самодостаточны, без необходимости потом тратить на них время. Врочем это ваше дело, следовать моему совету, или наступать на собственные грабли.
свои грабли лучше (=
Изображение

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение paix » 2009-02-27 13:11:07

ssh вообще лучше закрывать.

Вероятность же того, что забанит валидного юзера в случае с ftp\pop\imap достаточно высока в случае с conn-rate.
With best wishes, Sergej Kandyla

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение Grishun_U_S » 2009-02-28 9:20:22

paix писал(а):ssh вообще лучше закрывать.

Вероятность же того, что забанит валидного юзера в случае с ftp\pop\imap достаточно высока в случае с conn-rate.
У меня SSH открыт для всего мира на нескольких серверах, причем висит на стандартном 22 порте.
Есть жесткий conn-rate (1/60) и постоянно висящие в таблице с пяток-десяток брутефорсеров, вот например :

Код: Выделить всё

mail# pfctl -t BRUTEFORCERS -T show
   80.90.80.123
   85.17.139.163
   196.200.142.11
   202.4.105.35
   207.182.137.44
и скажу по секрету, что пароль им не подобрать вообще никогда даже без conn-rate, т.к. настроена авторизация по ключам.

Вероятность бана валидного юзера со значениями, например 5/20 (5 коннектов за 20 секунд) для ИМАП/ПОП если только у Вас не сервер уровня mail.ru/yandex.ru/rambler.ru очень маленькая.
Изображение

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение paix » 2009-03-02 12:40:18

;)
вы не сталкивались с ситуациями когда много пользователей сидят за шлюзом.

И еще одно, вероятность того что у вас уведут пароль намного выше, чем та что его подберут. (в случае с использованием винды эти риски очень и очень обоснованы.)

ЗЫ. делай как хочеш, мне все равно.
With best wishes, Sergej Kandyla

Аватара пользователя
Grishun_U_S
сержант
Сообщения: 221
Зарегистрирован: 2008-04-12 18:26:54
Откуда: Samara
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение Grishun_U_S » 2009-03-02 14:42:23

paix писал(а):;)
вы не сталкивались с ситуациями когда много пользователей сидят за шлюзом.
Не сталкивался и никак не могу понять откуда им взяться когда корпоративный сервер работает в обычном режиме (доставляет почту внутрь корпоративной сети и из нее). Да, могут быть пользователи из дома, но их во-первых мало, а уж вероятность того что они еще и с одного адреса пишут вообще никакая.
paix писал(а): И еще одно, вероятность того что у вас уведут пароль намного выше, чем та что его подберут. (в случае с использованием винды эти риски очень и очень обоснованы.)

ЗЫ. делай как хочеш, мне все равно.
Вот только не надо обижаться, потому что я спорю не ради того чтобы поспорить, а истины для.
Изображение

paix
лейтенант
Сообщения: 863
Зарегистрирован: 2007-09-24 12:41:05
Откуда: dn.ua
Контактная информация:

Re: Перебирают логины и пасы на серваке

Непрочитанное сообщение paix » 2009-03-02 14:55:15

у меня правило не обижаться - не выгодно это ;)
истины для я тоже не спорю ).

по твоему такая проблема может возникать только на корпоративном сервере? других больше не существует?
сам будеш заявки от юзеров принимать, отвечать, время тратить "извините мол, забанило вас... а сообщите ваш айпишник?" (тут следуют 15 минут переписки как раздуплить пользователя чтобы он определил айпишник шлюза).

я это проходил. Поэтому и не советую.

На счет блокировки тоже был забавный случай....
был себе варезный портал в крупном городе, и ходило на него не одна тысяча (и десяток) человек....потом бац и перестали ходить.... ну я думаю как обычно, локальные провайдеры заблокировали....(трафик с портала поди в районе 90мбит)
через несколько дней, кучи потраченного времени и нервов, выяснилось что никакой провайдер нас не блокировал. Какаято падла из городской сети решила просто ссш побрутфорсить ) естественно айпишник городского гейта и забанило (через который большая часть юзеров и ходила...)....

мораль сей басни такова:
если какое-то техническое решение отбирает (прямо или косвенно) у вас время - выкиньте его. Жизнь себе надо упрощать а не усложнять....как жаль что это поздно доходит.
With best wishes, Sergej Kandyla