Heinzi
2017-11-27 13:22:53 UTC
這已經進行了大約1-2天:
heinzi @ guybrush:〜$ less /var/log/mail.log | grep'^ Nov 27。* postfix / submission。* warning'[...] Nov 27 03:36:16 guybrush postfix / submission / smtpd [7523]:警告:主機名bd676a3d.virtua.com.br無法解析為地址189.103.106.61Nov 27 03:36:22 guybrush postfix / submission / smtpd [7523]:警告:未知[189.103.106.61]:SASL PLAIN身份驗證失敗:Nov 27 03:36:28 guybrush postfix / submission / smtpd [7523] ]:警告:未知[189.103.106.61]:SASL登錄身份驗證失敗:VXNlcm5hbWU6Nov 27 04:08:58 guybrush postfix / submission / smtpd [8714]:警告:主機名b3d2f64f.virtua.com.br不能解析為地址179.210。 246.79Nov 27 04:09:03 Guybrush後綴/提交/ smtpd [8714]:警告:未知[179.210.246.79]:SASL PLAIN身份驗證失敗:Nov 27 04:09:09 Guybrush後綴/提交/ smtpd [8714]:警告:未知[179.210.246.79]:SASL登錄身份驗證失敗:VXNlcm5hbWU6Nov 27 05:20:11 guybrush postfix / submission / smtpd [10175]:警告:主機名b3d0600e.virtua.com.br無法解析為地址179.208.96.14Nov 2705:20:16 guybrush postfix / submission / smtpd [10175]:警告:未知[179.208.96.14]:SASL PLAIN身份驗證失敗:11月27日05:20:22 guybrush postfix / submission / smtpd [10175]:警告:未知[ 179.208.96.14]:SASL LOGIN身份驗證失敗:VXNlcm5hbWU6Nov 27 06:42:43 guybrush postfix / submission / smtpd [12927]:警告:主機名b18d3903.virtua.com.br無法解析為地址177.141.57.3Nov 27 06:42 :48 guybrush postfix / submission / smtpd [12927]:警告:未知[177.141.57.3]:SASL PLAIN身份驗證失敗:11月27日06:42:54 guybrush postfix / submission / smtpd [12927]:警告:未知[177.141.57.3 ]:SASL LOGIN身份驗證失敗:VXNlcm5hbWU6Nov 27 08:01:08 guybrush後綴/提交/ smtpd [14161]:警告:主機名b3db68ad.virtua.com.br不能解析為地址179.219.104.173
Nov 27 08:01:13 guybrush postfix / submission / smtpd [14161]:警告:未知[179.219.104.173]:SASL PLAIN身份驗證失敗:11月27日08:01:19 guybrush postfix / submission / smtpd [14161]:警告:未知[179.219.104.173]:SASL LOGIN身份驗證失敗:VXNlcm5hbWU6 每1-2小時都會有一次失敗的登錄嘗試,總是來自同一域,但是每次都來自不同的IP地址。因此,它不會觸發fail2ban並且logcheck消息開始使我煩惱。 :-)
我的問題:
-
這種“攻擊”有什麼意義?速度太慢了,無法進行有效的暴力破解,我真的懷疑有人會專門針對我的小型個人服務器。
-
我有什麼辦法可以對付它?除了禁止該提供商的完整IP範圍?我可以不再擔心,並將這些消息添加到我的logcheck ignore config中(因為我的密碼很安全),但這可能會導致我錯過更嚴重的攻擊。
ol>
您的個人服務器是否很小並不重要。無論如何,它對於殭屍網絡都將很有用。慢速只是為了避免絆倒任何檢測機制(儘管這只是我的觀點,不會做出任何艱難的陳述)。至於禁止提供者範圍-都不重要。殭屍網絡擁有大量可用的ip,並且它們可能具有欺騙性。
是嘗試使用相同的帳戶還是不同的帳戶?
@schroeder:好的問題。我剛剛啟用了記錄失敗嘗試的用戶名的功能,並將返回報告。
@Heinzi這似乎是至關重要的信息。如果是同一帳戶而不是您擁有的帳戶,則有人錯誤地配置了他們的服務器
@schroeder:在最近兩個小時內嘗試的用戶名是“ info @ ”(1次嘗試),“ admin @ ”(1次嘗試)和“ AB ”(2次嘗試)。在我看來就像是經典的蠻力猜測。
我以前在我的蜜罐上看到過這個。這是“背景輻射”。暴力破解的企圖在非常廣泛的範圍內展開。客人的答案可能是正確的答案。
一個簡單的解決方案:[Fail2Ban](https://www.fail2ban.org/wiki/index.php/Main_Page),其中一個自定義監牢和maxretry設置為1。這就是我使用的方法,效果很好。
有趣的是,它們似乎都起源於巴西Virtua擁有的一個數據中心。這讓我感到奇怪,如果他們還可以使用不花錢且不與信用卡關聯的機器人來購買服務器,誰來為服務器付費?
@Damon Virtua是數據中心嗎?你他媽在說什麼?Virtua以前是http://www.netcombo.com.br/(一家家用有線電視/互聯網提供商)的名稱。您甚至可以看到地址的第一部分似乎是客戶MAC。
這似乎是對默認密碼的掃描,因為提供的LOGIN是用戶名“ Username”和空字符串的密碼。
如果足夠小,則可以將設備可以從中檢查電子郵件的每個ip網絡阻止列入白名單。因此,這將是分配給您的cellco的任何IP塊,並且IP範圍從您可能會無線連接的遠程站點(朋友,工作場所等)或僅保留在蜂窩數據上。除了家庭環境以外,不建議這樣做。
另一個骯髒的緩解措施是禁止IPv4連接,並且假設兩端都允許通過IPv6進行郵件檢查。腳本小子往往只關注IPv4連接。
@Heinzi如果攻擊來自與Virtua連接的主機,這就是您看到不斷變化的IP的原因。該連接因在使用中無故突然更改IP而臭名昭著,並且在某些應用中可能引起頭痛。請注意,這是家庭連接,因此攻擊機可能是試圖做“有趣的事情”的家庭用戶殭屍網絡的一部分。
Google for`fail2ban`。
@peterh:請再次閱讀問題,已經提到了fail2ban。
IIUC正確,攻擊本身成功的機會大約為零,但是主要問題是它們正在填充日誌檢查,並且可能掩蓋了其他更嚴重的攻擊。對?
完全是@smci:。我可以僅將這些消息添加到我的logcheck ignore config中,但是我擔心自己那時可能會錯過更嚴重的攻擊。但是,在閱讀了答案之後,似乎沒有一個簡單的答案可以解決這個問題,我應該過濾掉這些消息並不再擔心。
@Heinzi:好的,但是我要說的是,您想根據上面的解釋來編輯並重新陳述問題。
@smci:已完成。我試圖使更改盡可能小,以避免使現有答案無效。