Attaque MAIL

Support Debian
#1

Bonjour dans mes log j’ai :

Jun 24 14:48:21 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<1@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:23 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<disk@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:25 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<carmen@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:27 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<radio@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:29 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<ftp@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:31 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<web@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:33 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<testmail@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:35 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<test@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:37 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<root@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:39 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<info@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:41 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<www@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:43 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<2@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:45 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<sales@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:47 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<recruit@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:49 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<alias@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:51 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<office@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]
Jun 24 14:48:53 mx dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<music@ovh.net>, method=PLAIN, rip=209.177.94.11, lip=[MonIP]

Comme ça pour des milliers de lignes …
J’ai fail2ban d’installer, mais ça ne suffit pas …
L’IP 209.177.94.11 renvoie sur un serveur Apache … ça sent le zombi !
Je pense qu’avec IPTABLE je peux bannir cette IP, mais quand pensez-vous ?

#2

Bonjour,

oui, pourquoi pas, car je crois que dans fail2ban tu peux exécuter un script bash perso quand fail2ban bannit un ip.

#3

Salut,

Les jails en question sont-elles activées et configurer comme il se doit …

[code]

[dovecot]

enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = dovecot
logpath = /var/log/mail.log
bantime = 1209600
findtime = 1209599
maxretry = 1

http://www.zonewebmaster.eu/nos_tutoriaux/dovecot_fail2ban

http://www.isalo.org/wiki.debian-fr/index.php?title=Fail2ban#Activez_les_logs_de_mysql

[dovecot-pop3imap]

enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port=“pop3,pop3s,imap,imaps”, protocol=tcp]
logpath = /var/log/mail.log
bantime = 1209600
findtime = 1209599
maxretry = 1

…[/code]

#4

Salut,

Faut pas avoir peur de bannir tout le monde…

Vire l’ip avec iptables, c’est le plus simple.

#5

Sur un serveur de mail perso, non.

#6

Salut,

/etc/hosts.deny est là pour çà, non ?

#7

En supposant qu’elle ne soit ni dynamique ni anonymisé de quelconque manière, non ?

#8

Salut,

[quote=“BelZéButh”][quote=“lol”]
Faut pas avoir peur de bannir tout le monde…
[/quote]
Sur un serveur de mail perso, non.[/quote]

Ça on ne le sait pas encore.
En, ce qui me concerne mettre à maxretry à un est impossible, je suis sur d’aller au mur et de bannir des clients légitimes.

Ceci dit c’est la première fois que je vois un bot ne faire qu’une seule tentative… Ils deviennent malins!

Mais après tout, à part remplir les logs, ça fait pas de mal… :005

#9
  1. bannir l’IP via une règle iptables
  2. faire un whois sur l’IP et envoyer un mail à l’adresse abuse@ fournie (s’il y’en a une). On ne sait jamais, sur un malentendu ça peut marcher :033
#10

[code]#

ARIN WHOIS data and services are subject to the Terms of Use

available at: https://www.arin.net/whois_tou.html

Query terms are ambiguous. The query is assumed to be:

“n 209.177.94.11”

Use “?” to get help.

The following results may also be obtained via:

http://whois.arin.net/rest/nets;q=209.177.94.11?showDetails=true&showARIN=false&ext=netref2

ChinaCache North America, Inc CHINACACHE-2 (NET-209-177-80-0-1) 209.177.80.0 - 209.177.95.255
C3 Networks C3-DFW-001 (NET-209-177-94-0-1) 209.177.94.0 - 209.177.94.255

ARIN WHOIS data and services are subject to the Terms of Use

available at: https://www.arin.net/whois_tou.html

#[/code]

À quoi bon surchargé iptables … :033

#11

[code]limiteport () {
port $1
PORT=$RES
$IPTABLES -I INPUT -i $IF_EXT -p tcp --dport $PORT -m state --state NEW -m recent --set
$IPTABLES -I INPUT -i $IF_EXT -p tcp --dport $PORT -m state --state NEW -m recent --update --seconds $3 --hitcount $2 -j DROP
}

limiteport pop3 10 90
[/code]

Limite à 10 connexions sur 90 secondes. C’est rare d’avoir plus de 10 boites par IP mais ça dépend de ta configuration.