Pytanie:
Ktoś próbuje brutalnie wymusić (?) Mój prywatny serwer pocztowy ... bardzo ... powoli ... i ze zmieniającymi się adresami IP
Heinzi
2017-11-27 13:22:53 UTC
view on stackexchange narkive permalink

Trwa to około 1-2 dni: 

  heinzi @ guybrush: ~ $ mniej /var/log/mail.log | grep '^ 27 listopada. * postfix / submit. * warning' [...] 27 listopada 03:36:16 guybrush postfix / submit / smtpd [7523]: warning: hostname bd676a3d.virtua.com.br nie rozwiązuje adres 189.103.106.61List 27 03:36:22 guybrush postfix / submit / smtpd [7523]: ostrzeżenie: nieznany [189.103.106.61]: uwierzytelnianie SASL PLAIN nie powiodło się: 27 listopada 03:36:28 guybrush postfix / submit / smtpd [7523 ]: ostrzeżenie: nieznane [189.103.106.61]: uwierzytelnianie SASL LOGIN nie powiodło się: VXNlcm5hbWU6Nov 27 04:08:58 guybrush postfix / submit / smtpd [8714]: ostrzeżenie: nazwa hosta b3d2f64f.virtua.com.br nie rozwiązuje problemu z adresem 179.210. 246.79 27 listopada 04:09:03 guybrush postfix / submit / smtpd [8714]: warning: unknown [179.210.246.79]: uwierzytelnianie SASL PLAIN nie powiodło się: 27 listopada 04:09:09 guybrush postfix / submit / smtpd [8714]: warning : nieznany [179.210.246.79]: uwierzytelnianie SASL LOGIN nie powiodło się: VXNlcm5hbWU6LIS 27 05:20:11 guybrush postfix / submit / smtpd [10175]: ostrzeżenie: nazwa hosta b3d0600e.virtua.com.br nie rozwiązuje problemu z adresem 179.208.96.14 listopada 2705:20:16 guybrush postfix / submit / smtpd [10175]: ostrzeżenie: nieznane [179.208.96.14]: uwierzytelnianie SASL PLAIN nie powiodło się: 27 listopada 05:20:22 guybrush postfix / submit / smtpd [10175]: ostrzeżenie: nieznane [ 179.208.96.14]: uwierzytelnianie SASL LOGIN nie powiodło się: VXNlcm5hbWU6LIS 27 06:42:43 guybrush postfix / submit / smtpd [12927]: ostrzeżenie: nazwa hosta b18d3903.virtua.com.br nie rozwiązuje problemu z adresem 177.141.57.3 listopada 27 06:42 : 48 guybrush postfix / submit / smtpd [12927]: ostrzeżenie: nieznane [177.141.57.3]: uwierzytelnianie SASL PLAIN nie powiodło się: 27 listopada 06:42:54 guybrush postfix / submit / smtpd [12927]: ostrzeżenie: nieznane [177.141.57.3 ]: Uwierzytelnianie SASL LOGIN nie powiodło się: VXNlcm5hbWU6LIS 27 08:01:08 guybrush postfix / submit / smtpd [14161]: ostrzeżenie: nazwa hosta b3db68ad.virtua.com.br nie rozwiązuje problemu z adresem 179.219.104.173
27 listopada 08:01:13 guybrush postfix / submit / smtpd [14161]: ostrzeżenie: nieznane [179.219.104.173]: uwierzytelnianie SASL PLAIN nie powiodło się: 27 listopada 08:01:19 guybrush postfix / submit / smtpd [14161]: ostrzeżenie: nieznany [179.219.104.173]: uwierzytelnianie SASL LOGIN nie powiodło się: VXNlcm5hbWU6

Jest jedna nieudana próba logowania co 1-2 godziny, zawsze z tej samej domeny, ale za każdym razem z innego adresu IP adres. W związku z tym nie uruchomi fail2ban, a komunikaty logcheck zaczynają mnie denerwować. :-)

Moje pytania:

  1. Jaki jest sens tego rodzaju „ataku”? Szybkość jest zbyt niska, aby wykonać jakiekolwiek skuteczne brutalne wymuszanie, i naprawdę wątpię, czy ktoś specjalnie celowałby w mój mały osobisty serwer.

  2. Czy jest coś, co mogę z tym zrobić? z wyjątkiem zakazu pełnego zakresu adresów IP tego dostawcy? Mógłbym po prostu przestać się martwić i dodać te wiadomości do mojego dziennika, zignoruj ​​konfigurację (ponieważ moje hasła są silne), ale może to spowodować, że przegapię poważniejsze ataki.

To, czy Twój osobisty serwer jest mały, nie ma znaczenia.W każdym razie botnet może się przydać.Niska prędkość może po prostu służyć uniknięciu uruchamiania jakichkolwiek mechanizmów wykrywania (chociaż to tylko moja opinia, nie zamierzam robić żadnych twardych stwierdzeń).Jeśli chodzi o zakazanie zakresu dostawców - to też nie ma znaczenia.Botnet ma wiele dostępnych adresów IP, które są potencjalnie fałszywe.
Czy próbowano użyć tego samego konta, czy różnych kont?
@schroeder: Dobre pytanie.Właśnie włączyłem rejestrowanie nazw użytkowników nieudanych prób i poinformuję o tym.
@Heinzi, to wydaje się być kluczową informacją.Jeśli jest to to samo konto, a nie to, które masz, oznacza to, że ktoś źle skonfigurował swój serwer
@schroeder: Nazwy użytkowników wypróbowanych w ciągu ostatnich dwóch godzin to `info @ ` (1 próba), `admin @ ` (1 próba) i `AB ` (2 próby).Dla mnie wygląda na klasyczne zgadywanie brutalnej siły.
Widziałem to już wcześniej na moich honeypotach.To „promieniowanie tła”.Próby brutalnej siły rozprzestrzeniły się na bardzo szeroki zakres.Odpowiedź gościa jest prawdopodobnie poprawna.
Proste rozwiązanie: [Fail2Ban] (https://www.fail2ban.org/wiki/index.php/Main_Page) z niestandardowym więzieniem i maxretry ustawionym na 1. To jest to, czego używam i działa dobrze.
Co ciekawe, wszystkie wydają się pochodzić z jednego centrum danych należącego do firmy Virtua w Brazylii.Zastanawiam się, kto zapłaciłby za serwery, gdyby mogli równie dobrze używać botów, które nie kosztują pieniędzy i nie są powiązane z ich kartą kredytową?
@Damon Virtua jako centrum danych?Co ty do cholery mówisz?Virtua to dawna nazwa http://www.netcombo.com.br/, dostawcy telewizji kablowej / Internetu dla gospodarstw domowych.Możesz nawet zobaczyć, że pierwsza część adresów wydaje się być adresami MAC klientów.
Wygląda na to, że jest to skanowanie w poszukiwaniu domyślnych haseł, ponieważ podany LOGIN to nazwa użytkownika „Nazwa użytkownika” i hasło z pustego ciągu.
Jeśli jesteś wystarczająco mały, możesz dodać do białej listy każdy blok sieciowy IP, z którego Twoje urządzenia mogą sprawdzać pocztę e-mail.Byłby to więc dowolny blok IP przypisany do Twojej sieci komórkowej, a adresy IP obejmują odległe lokalizacje, w których możesz uzyskać połączenie bezprzewodowe (przyjaciele, miejsce pracy itp.) Lub po prostu pozostać na danych komórkowych.Niezbyt polecane w przypadku niczego większego niż środowisko domowe.
Innym brudnym mitigatorem jest blokowanie połączeń IPv4 i zezwalanie na sprawdzanie poczty tylko przez IPv6, zakładając, że masz go na obu końcach.Dzieciaki ze skryptów zwykle koncentrują się tylko na połączeniach IPv4.
@Heinzi Jeśli atak pochodzi z hosta podłączonego do Virtua, to jest powód, dla którego widzisz ciągle zmieniające się adresy IP.To połączenie jest znane z nagłej zmiany adresów IP bez powodu w połowie użytkowania i może powodować ból głowy w niektórych aplikacjach.Należy pamiętać, że jest to połączenie domowe, więc atakująca maszyna jest prawdopodobnie częścią botnetu użytkownika domowego próbującego robić „śmieszne rzeczy”
Google dla „fail2ban”.
@peterh: Przeczytaj ponownie pytanie, wspomniano już o fail2ban.
IIUC poprawnie, same ataki mają prawie zerową szansę na powodzenie, ale głównym problemem jest to, że zapełniają one dzienniki i mogą przesłaniać inne, bardziej poważne ataki.Dobrze?
@smci: Dokładnie.Mogę po prostu dodać te wiadomości do mojego logcheck ignore config, ale martwiłem się, że mogę wtedy przegapić bardziej poważne ataki.Jednak po przeczytaniu odpowiedzi wydaje się, że nie ma łatwej odpowiedzi na ten problem i powinienem po prostu przefiltrować te wiadomości i przestać się martwić.
@Heinzi: ok, ale chodzi mi o to, że chcesz edytować i powtórzyć pytanie zgodnie z moją parafrazą powyżej.
@smci: Gotowe.Starałem się, aby zmiana była jak najmniejsza, aby uniknąć unieważnienia istniejących odpowiedzi.
Pięć odpowiedzi:
guest
2017-11-27 13:27:31 UTC
view on stackexchange narkive permalink

Jaki jest sens tego rodzaju „ataku”? Szybkość jest zbyt niska, aby wykonać jakiekolwiek skuteczne brutalne wymuszenie, i naprawdę wątpię, czy ktoś specjalnie celowałby w mój mały osobisty serwer.

Szybkość jest niska lub w sumie ilość wysyłanych danych jest niewielka? Możliwe, że bardzo rzadko widzisz połączenia, ale skąd wiesz, że boty wykonujące brutalne wymuszanie nie nasycają stale swoich łączy wysyłających, a Twoja witryna jest tylko jedną z wielu atakowanych? Nie ma żadnej korzyści dla atakującego, jeśli spędza krótki czas na przechodzeniu po jednej witrynie na raz (i uruchamianiu fail2ban) w porównaniu z atakowaniem ogromnej liczby serwerów naraz, gdzie każdy serwer widzi tylko rzadkie połączenia. Oba mogą mieć tę samą liczbę wychodzących prób uwierzytelnienia na sekundę.

Czy jest coś, co mogę z tym zrobić, poza zablokowaniem pełnego zakresu adresów IP tego dostawcy (lub ignorowaniem wiadomości, ponieważ moje hasła są silne) ?

Mało prawdopodobne. Są szanse, że pochodzą one z botnetu lub klastra tanich serwerów VPS. Nie można określić, które inne zakresy adresów IP mogą być używane, widząc tylko kilka z nich. Jeśli nie znajdują się w tej samej podsieci, nie można ich przewidzieć. Możesz bezpiecznie zignorować te połączenia. To nic innego jak szum w tle internetu.

przy 1 próbie na godzinę wypróbowanie 100 najpopularniejszych haseł na koncie bez potknięcia się o około 4 dni ... Widzę ogromny zwrot z tego rodzaju ataku dla kogoś, kto tworzy botnet ...
Może zmień hasło administratora na takie, które już wypróbowali.To ich potknie.
@Caterpillaraoz Sugerujesz więc, aby _nie_ uruchamiać serwery zabezpieczone przed zdalnym dostępem hasłem wybranym z listy 100 najpopularniejszych haseł?
@Caterpillaraoz Nie wiesz, do ilu serwerów trafiają.W ciągu 4 dni, jeśli wyślą 100 najpopularniejszych haseł do 30 000 serwerów pocztowych, najprawdopodobniej dotrą do kilku z nich.
Sugeruję, abyśmy wszyscy używali hasła „baseball!”jako hasło: P @Qwertie to właśnie mam na myśli, "idąc wolno" na wielu tysiącach serwerów i trafiając na wiele, wiele, wiele kont, z ciekawości próbowałem SSH jako domyślnego administratora w mojej firmie F **** GDATABASE i wszedłem ....
Hasła nie byłyby powszechnie używane, gdyby nie były dobre, prawda?
@StigHemmer Właśnie dlatego przedsiębiorstwa w większości ustandaryzowały „Hasło123!”
@James_pic: Nigdy bym nie odgadł hasła123 !, zwykle rezygnuję po Admin, admin i root i pytam kogoś, kto faktycznie zna hasło
Jedną z rzeczy, która może wydobyć niewielki ból, jest zwiększenie czasu odpowiedzi na nieudaną próbę podania hasła w przypadku Twojego hosta.
@Christian Dzięki Apple root jest obecnie całkiem fantastycznym przypuszczeniem na wielu komputerach Mac.
@Daniel jako nazwa użytkownika
David Rouse
2017-11-27 19:32:18 UTC
view on stackexchange narkive permalink

Pytanie 1 - O ile nie jest to błędna konfiguracja (jak wspomniano w komentarzach), z mojego doświadczenia wynika, że ​​są to automatyczne ataki poszukujące kont, z których można wysyłać niechciane komercyjne wiadomości e-mail (lub próby phishingu).

Pytanie 2 - Jeśli zakres adresów IP, z których pochodzą Twoje legalne loginy, jest znany i wystarczająco mały, może być łatwiej zablokować wszystko oprócz tych zakresów.

Administruję pocztą e-mail dla małej firmy serwer, ten rodzaj sondowania jest dla nas prawie ciągły.

Tiberiu-Ionuț Stan
2017-11-28 03:51:13 UTC
view on stackexchange narkive permalink

1 próba co 1-2 godziny? To nie jest brutalna siła.

Może to czyjś iPhone z wygasłym hasłem. Prawdopodobnie twój! Lub, jeśli ponownie używasz adresów IP firmy hostingowej, poprzedni „właściciel” może nadal mieć gdzieś klienta poczty e-mail, skonfigurowane do przechodzenia do [teraz] twoich adresów IP.

Jeśli masz adresy IP, przynajmniej możesz je wyśledzić.

VXNlcm5hbWU6 jest najwyraźniej kodowaniem base64 „nazwy użytkownika”, które najwyraźniej Postfix wysyła jako zakodowaną podpowiedź.Coś związanego z „AUTH LOGIN” (wiele trafień w Google)
@infixed Tak, ten ciąg jest standardową częścią mechanizmu AUTH LOGIN.W AUTH LOGIN wszystko jest zakodowane w base64 i działa w obie strony.Pod tym kodowaniem wymiana jest prosta: (1) serwer wysyła „nazwę użytkownika” (2) klient wysyła nazwę użytkownika (3) serwer wysyła „hasło” (4) klient wysyła hasło.(Chociaż zastanawiam się, czy obecność ciągu w pliku dziennika może wskazywać, że klient faktycznie wysyła „Nazwa użytkownika” jako nazwę użytkownika ...)
Jeśli trafisz na 30 000 serwerów co 90 minut, nadal jest to 5,5 żądań na sekundę, tak, to brutalna siła.
Brute force to podejście, a nie prędkość.Opisany atak zdecydowanie stanowi „brutalną siłę”, choć jego tempo raczej kojarzy się z „łagodną dobrocią”.
Yakk
2017-11-28 01:58:53 UTC
view on stackexchange narkive permalink

Standardowa istniejąca praktyka blokowania adresów IP, które wielokrotnie próbują włamać się do systemu, działa tylko na ataki ukierunkowane.

Botnet może znaleźć ogromną listę serwerów i rozprowadzić zarówno osoby dokonujące ataku, jak i osoby atakują wśród botnetu. Objawem będzie poziom tła nieudanych prób zalogowania się do twojego systemu, dopóki jedna się nie powiedzie, po czym wdrożą jakiś zestaw, który eskaluje do roota i doda twój system do botnetu.

Ty można się przed tym bronić na bardzo niewiele sposobów.

Silne hasła są jedną z możliwych obron, ale muszą być połączone z zabezpieczeniem systemu w inny sposób przed atakami nieopartymi na hasłach. Załóżmy, że wyjdzie, że nastąpił atak przepełnienia / niedomiaru bufora w Twoim systemie logowania; botnet można przełączyć, aby wykonać ten atak i wykorzenić tysiące systemów na minutę, w tym twój.

Inną obroną może być niejasność. Tego rodzaju ataki dotyczą nisko wiszących owoców. Zmodyfikuj swój system logowania, aby (powiedzmy) wymagał wysłania polecenia ping do określonego numeru portu, zanim zezwoli na próby logowania. To czysta mrok, ale nagle przestaje wyglądać, jakby było tam miejsce do logowania. Koszt jest taki, że musisz teraz stworzyć konkretny ping, aby zalogować się zdalnie. Możesz też dodać do białej listy kilka adresów IP, z których możesz logować się zdalnie.

Ostatnim, niezwykle trudnym podejściem byłoby wygenerowanie rozproszonego systemu wykrywania hakowania haseł przez botnety. Tak jak systemy śledzą adresy IP, które je atakują, system rozproszony może śledzić botnety atakujące kogokolwiek. Wrzuć system zaufania, a będziesz mógł zbudować infrastrukturę, która będzie w stanie wykryć takie botnety łamiące hasła i sprawić, by wszyscy je zablokowali.

Taki wysiłek wymagałby lat pracy i prawdopodobnie zakończyłby się niepowodzeniem. Ale to jest coś, co możesz zrobić.

Więcej informacji na ten temat można znaleźć w artykule [The Hail Mary Cloud] (http://bsdly.blogspot.co.uk/2013/10/the-hail-mary-cloud-and-lessons-learned.html).
@JdeBP Czy można odpowiedzieć na ten krótki komentarz?W tym miejscu powinna znajdować się odpowiedź z terminem „Zdrowaś Maryjo Obłok” i podane odniesienie.
Harry McGovern
2017-11-28 21:03:51 UTC
view on stackexchange narkive permalink

Uwierzytelnianie SASL PLAIN nie powiodło się: andb3db68ad.virtua.com.br nie rozpoznaje adresu 179.219.104.173

Dopóki nie masz włączonego uwierzytelniania PLAIN dla żadnego użytkownika, wszystko powinno być w porządku. Ponadto, to: b3db68ad.virtua.com.br nie rozwiązuje adresu 179.219.104.173 mówi, że domena (y) jest fałszywą domeną, ponieważ nie jest rozwiązywana na używany adres IP. Kolejna porażka. Więc może nawet nie pochodzić z tej domeny. Możesz spędzić dużo czasu na pisaniu reguł Postfix, aby zakazać tego rodzaju rzeczy, ale ostatecznie ilość czasu, którą spędzasz, znacznie przewyższa obciążenie systemu.

Bardziej bezpieczne metody uwierzytelniania (haszowanie + - kerberos) chronią tylko hasło przed podsłuchiwaniem gdzieś po drodze lub z dzienników, co oznacza, że chroni użytkownika, którego hasło jest używane, być może poprzez scentralizowane logowanie, do uwierzytelniania w innych systemach. Więc nie będzie dobrze!Brute force nadal działa, niezależnie od tego, jak bezpieczne jest testowanie haseł, nawet w przypadku protokołu Kerberos, który używa pewnego rodzaju metody hash + challenge (aby nawet nie wysyłać przez sieć skrótu wielokrotnego użytku).


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...