Qpopper Attaque du serveur pop

Support Debian
#1

Bonjour,
Cela fait plusieurs fois que, a des moments dans la journée, en regardant mes log j’ai une attaque du genre:

Oct 25 17:02:22 XXXXserv.com in.qpopper[12650]: bob at 46.16.240.35 (46.16.240.35): -ERR [AUTH] Password supplied for "bob" is incorrect. [pop_pass.c:1173]
.....
Oct 25 17:02:23 XXXXserv.com in.qpopper[12675]: agent at 46.16.240.35 (46.16.240.35): -ERR [AUTH] Password supplied for "agent" is incorrect. [pop_pass.c:1173]
.....

des centaines de tentatives et cela sur des tranche de 30 a 40 minute.
Ce sont des attaque de force brute. Mais peut on régler le problème? (je ne vraiment pas un expert réseau)
Pour l’instant il n’ont jamais eu accès a mon serveur mais on ne sais jamais…

#2

Petit UP?
Merci :wink:

#3

Salut,
Bah, c’est un bot qui s’intéresse d’un peu trop près à ton serveur…

Installe fail2ban et protège qpopper (entre autre).

#4

[quote]IP address: 46.16.240.35
Country: Ukraine[/quote] :005

Les Russes et Ukrainiens sont parmi les meilleurs à ce petit jeux…

#5

Merci,
J’avais déjà installé fail2ban mais en examinant de plus prés :

me donne:

Donc je fais manuellement

pour supprimer le socket encore présent.
et un :

Et ça refonctionne par contre je n’arrive pas a ce que si il y a un probleme comme perte de courant ou reboot a fermer automatiquement le socket???
Une idée? :stuck_out_tongue:

#6

Re,
Quelle version de fail2ban ?

Il y un problème sur la version de squeeze:
isalo.org/wiki.debian-fr/ind … e_fail2ban

Peut-être pas le même problème, mais ça mérite une vérification quand même.