web-dev-qa-db-ja.com

誰かが私のプライベートメールサーバーをブルートフォース(?)しようとしています...非常に...ゆっくり...そしてIPを変更しています

これは現在約1〜2日間続いています。

heinzi@guybrush:~$ less /var/log/mail.log | grep '^Nov 27 .* postfix/submission.* warning'
[...]
Nov 27 03:36:16 guybrush postfix/submission/smtpd[7523]: warning: hostname bd676a3d.virtua.com.br does not resolve to address 189.103.106.61
Nov 27 03:36:22 guybrush postfix/submission/smtpd[7523]: warning: unknown[189.103.106.61]: SASL PLAIN authentication failed:
Nov 27 03:36:28 guybrush postfix/submission/smtpd[7523]: warning: unknown[189.103.106.61]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 04:08:58 guybrush postfix/submission/smtpd[8714]: warning: hostname b3d2f64f.virtua.com.br does not resolve to address 179.210.246.79
Nov 27 04:09:03 guybrush postfix/submission/smtpd[8714]: warning: unknown[179.210.246.79]: SASL PLAIN authentication failed:
Nov 27 04:09:09 guybrush postfix/submission/smtpd[8714]: warning: unknown[179.210.246.79]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 05:20:11 guybrush postfix/submission/smtpd[10175]: warning: hostname b3d0600e.virtua.com.br does not resolve to address 179.208.96.14
Nov 27 05:20:16 guybrush postfix/submission/smtpd[10175]: warning: unknown[179.208.96.14]: SASL PLAIN authentication failed:
Nov 27 05:20:22 guybrush postfix/submission/smtpd[10175]: warning: unknown[179.208.96.14]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 06:42:43 guybrush postfix/submission/smtpd[12927]: warning: hostname b18d3903.virtua.com.br does not resolve to address 177.141.57.3
Nov 27 06:42:48 guybrush postfix/submission/smtpd[12927]: warning: unknown[177.141.57.3]: SASL PLAIN authentication failed:
Nov 27 06:42:54 guybrush postfix/submission/smtpd[12927]: warning: unknown[177.141.57.3]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 08:01:08 guybrush postfix/submission/smtpd[14161]: warning: hostname b3db68ad.virtua.com.br does not resolve to address 179.219.104.173
Nov 27 08:01:13 guybrush postfix/submission/smtpd[14161]: warning: unknown[179.219.104.173]: SASL PLAIN authentication failed:
Nov 27 08:01:19 guybrush postfix/submission/smtpd[14161]: warning: unknown[179.219.104.173]: SASL LOGIN authentication failed: VXNlcm5hbWU6

1〜2時間ごとに1回のログイン試行が失敗します。常に同じドメインからですが、毎回異なるIPアドレスからです。したがって、fail2banはトリガーされず、logcheckメッセージが私を困らせ始めています。 :-)

私の質問:

  1. この種の「攻撃」のポイントは何ですか?この速度は非常に遅いため、効率的なブルートフォースを実行することはできません。また、誰かが私の小さな個人用サーバーを明確に狙うことは本当にありません。

  2. そのプロバイダーの完全なIP範囲を禁止することを除いて、それに対して何かできることはありますか?私は心配するのをやめ、logcheck ignore configにこれらのメッセージを追加することができます(パスワードが強力であるため)が、これにより、より深刻な攻撃を見逃す可能性があります。

98
Heinzi

この種の「攻撃」のポイントは何ですか?この速度は非常に遅いため、効率的なブルートフォースを実行することはできません。また、誰かが私の小さな個人用サーバーを明確に狙うことは本当にありません。

速度が遅い、または送信されるデータの合計amountは小さいですか?ごくまれに接続が表示される場合がありますが、ブルートフォースを実行するボットがアップリンクを常に飽和させておらず、攻撃されているサイトの1つにすぎないことをどのようにして確認しますか?攻撃者が一度に1つのサイトを追跡して(そしてfail2banをトリガーして)短時間で過ごすことは、各サーバーが頻繁に接続を確認しないだけの膨大な数のサーバーを一度に攻撃することに比べてメリットがありません。どちらも、1秒あたりの送信認証試行のレートが同じになる場合があります。

そのプロバイダーの完全なIP範囲を禁止する(または、パスワードが強力であるためメッセージを無視する)以外に、私がそれに対して何かできることはありますか?

ありそうもない。おそらく、これらはボットネットまたは低コストのVPSのクラスターからのものです。これらのいくつかを確認するだけでは、他にどのIP範囲が使用されているかを判断することはできません。それらが同じサブネット上にない場合、それらは予測できません。これらの接続は無視しても問題ありません。それは、インターネットのバックグラウンドノイズにすぎません。

147
guest

質問1-(コメントで述べたように)構成の誤りでない限り、私の経験では、これらは未承諾の商用メール(またはフィッシング攻撃)の送信元となるアカウントを探す自動化された攻撃のようです。

質問2-正当なログインのIPの範囲がわかっていて十分に小さい場合、それらの範囲を除くすべてをブロックする方が簡単な場合があります。

私は中小企業の電子メールサーバーを管理していますが、この種の調査はほぼ継続的に行われます。

14
David Rouse

1〜2時間ごとに1回試行しますか?それは総当たりではありません。

たぶん、パスワードが期限切れの誰かのiPhoneです。おそらくあなたのものです!または、ホスティング会社のIPアドレスを再利用している場合でも、以前の「所有者」には、どこかに[今] IPにアクセスするように設定された電子メールクライアントが残っている可能性があります。

IPアドレスを持っている場合は、それらをトレースすることしかできません。

12

システムへの侵入を繰り返し試みるIP禁止の標準的な既存の慣行は、標的型攻撃に対してのみ機能します。

ボットネットはサーバーの膨大なリストを見つけ、攻撃を行っている人と攻撃している人の両方をボットネットに分散させることができます。症状は、成功するまで、システムに対するログイン試行の失敗のバックグラウンドレベルになります。成功すると、ルートにエスカレートするいくつかのキットを展開し、システムをボットネットに追加します。

いくつかの方法でこれを防ぐことができます。

強力なパスワードは考えられる防御策の1つですが、システムをパスワード以外の攻撃から安全に保つために組み合わせる必要があります。ログインシステムにバッファオーバーフロー/アンダーフロー攻撃があることが判明したとします。ボットネットを切り替えて、その攻撃を実行し、1分あたり数千のシステムをルート化することができます。

もう1つの防御策はあいまいなことです。これらの種類の攻撃は、ぶら下がっている果物を狙います。ログインシステムを変更して(たとえば)特定のポート番号へのpingを要求してから、ログインを試行できるようにします。これは純粋にあいまいですが、突然ログインする場所があるように見えなくなります。コストは、リモートでログインするために特定のpingを作成する必要があることです。または、リモートからのログインが許可されているいくつかのIPアドレスをホワイトリストに登録することもできます。

最後の非常に難しいアプローチは、分散型ボットネットパスワードハッキングシステム検出器を生成することです。システムが攻撃しているIPアドレスを追跡しているように、分散システムはボットネットが誰かを攻撃していることを追跡できます。信頼システムのフローを投入すれば、このようなパスワードクラッキングボットネットを検出してすべての人にブロックさせるインフラストラクチャを構築できます。

このような努力は何年もかかり、おそらく失敗するでしょう。しかし、それはあなたができることです。

6
Yakk

SASL PLAIN認証が失敗しました:b3db68ad.virtua.com.brはアドレス179.219.104.173に解決されません

どのユーザーに対してもPLAIN認証を有効にしていない限り、問題はありません。また、これはb3db68ad.virtua.com.brがアドレス179.219.104.173に解決されないため、使用されているIPに解決されていないため、ドメインが偽のドメインであることがわかります。別の失敗。そのため、そのドメインからのものではない可能性もあります。この種のことを禁止するために、Postfixの記述ルールで多くの時間を費やすことができますが、最終的には、システムにかかる負荷をはるかに上回る時間を費やします。

0
Harry McGovern