Со вчерашнего дня (7 утра) наш POP-сервер подвергается словарной атаке: вот что я нашел в /var/log/mail.log:
Mar 26 10:31:36 serv pop3d: LOGIN FAILED, user=monday, ip=[::ffff:91.121.**.***]
Mar 26 10:31:41 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***]
Mar 26 10:31:41 serv pop3d: Connection, ip=[::ffff:91.121.**.***]
Mar 26 10:31:41 serv pop3d: LOGIN FAILED, user=monica, ip=[::ffff:91.121.**.***]
Mar 26 10:31:46 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***]
Mar 26 10:31:46 serv pop3d: Connection, ip=[::ffff:91.121.**.***]
Mar 26 10:31:46 serv pop3d: LOGIN FAILED, user=monroe, ip=[::ffff:91.121.**.***]
Mar 26 10:31:51 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***]
Mar 26 10:31:51 serv pop3d: Connection, ip=[::ffff:91.121.**.***]
Mar 26 10:31:51 serv pop3d: LOGIN FAILED, user=montana, ip=[::ffff:91.121.**.***]
Mar 26 10:31:56 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***]
IP ведет к серверу агентства. Мы предупредили их, что у них сломаны швы безопасности, и они ответили, что знали об этом и работали над этим.
Но со вчерашнего 22:00 IP меняется и новая доза ни к чему не приводит. Кажется, что IP-адрес занесен в черный список на некоторых серверах (TornevallNET, Spamhaus и CBL_AbuseAt).
Раньше пробовать каждые 5 секунд, теперь каждую секунду:
Mar 27 00:00:57 serv pop3d: Connection, ip=[::ffff:176.61.***.***]
Mar 27 00:00:58 serv pop3d: LOGIN FAILED, user=info, ip=[::ffff:176.61.***.***]
Mar 27 00:00:59 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.***
Mar 27 00:00:59 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.***
Mar 27 00:01:00 serv pop3d: LOGOUT, ip=[::ffff:176.61.***.***]
Mar 27 00:01:00 serv pop3d: Disconnected, ip=[::ffff:176.61.***.***]
Mar 27 00:01:01 serv pop3d: LOGOUT, ip=[::ffff:176.61.***.***]
Mar 27 00:01:01 serv pop3d: Disconnected, ip=[::ffff:176.61.***.***]
Mar 27 00:01:01 serv pop3d: Connection, ip=[::ffff:176.61.***.***]
Mar 27 00:01:01 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.***
А потом они запускают то же самое на imap:
Mar 27 00:07:08 serv imapd: Connection, ip=[::ffff:176.61.***.***]
Mar 27 00:07:09 serv imapd: LOGIN FAILED, user=web, ip=[::ffff:176.61.***.***]
Mar 27 00:07:09 serv imapd: Disconnected, ip=[::ffff:176.61.***.***], time=6
Mar 27 00:07:09 serv imapd: Connection, ip=[::ffff:176.61.***.***]
Кажется, что через 25 минут это прекратилось, IP снова меняется, и теперь это:
Mar 27 10:20:01 serv postfix/smtpd[10390]: connect from localhost[127.0.0.1]
Mar 27 10:20:01 serv postfix/smtpd[10390]: lost connection after CONNECT from localhost[127.0.0.1]
Mar 27 10:20:01 serv postfix/smtpd[10390]: disconnect from localhost[127.0.0.1]
Mar 27 10:22:33 serv imapd: Connection, ip=[::ffff:88.190.***.**]
Mar 27 10:22:33 serv imapd: Disconnected, ip=[::ffff:88.190.***.**], time=0
Почему на нашем сервере все еще остаются соединения с чужого IP-адреса?
На нашем производственном веб-сервере мы не используем POP или IMAP, а используем SMTP с постфиксом. Ретранслятор находится у нашего DNS-провайдера.
Что творится ?
Заранее спасибо и извините за мой английский.
Извините, мне нужно добавить ответ, потому что я все еще не могу добавлять комментарии. Но что бы вы ни делали, у вас ВСЕГДА будет другой IP-адрес, который будет рассылать вам спам и подвергать вас грубому принуждению. Лучше всего заблокировать их и надеяться, что у вас нет администратора с паролем 1234. Я прошел через это с моим сервером Imap. Я чувствую твою боль. Но, как сказал Майкл, добро пожаловать в Интернет. ура
Риск взлома системы зависит полностью от применяемых вами политик безопасности и их эффективности против злоумышленников.
Если у вас есть политики надежных паролей, блокировка учетных записей (после определенного количества неудачных попыток входа в систему), отслеживание источника (то есть блокировка IP-адресов, которые отправляют большой объем неудачных запросов аутентификации на ваш сервер) и аудит, у вас не будет есть о чем беспокоиться.
С другой стороны, если у вас нет этих мер, вам может быть уже слишком поздно закрывать его, и вам следует оценить риск и ущерб, которые это может нанести вашему бизнесу. Если риск слишком велик, чтобы принять его, переведите систему в автономный режим, защитите ее и снова подключите. Обеспечить безопасность незащищенной системы всегда проще, чем восстановить скомпрометированную систему.
Рассматривали ли вы использование защищенных версий для IMAP / POP3? Хотя он не остановит подобные попытки, поскольку они находятся на разных портах, кроме 110 и 143, это может «помочь».
Если у вас нет огромной базы пользователей, может быть проще просто переместить порты 110 и 143 на некоторые нестандартные номера портов. Честно говоря, это плохое решение, поскольку оно не решает никаких проблем с безопасностью. Но, скорее всего, это сработает для небольших групп, если у вас нет большой команды, которая может пойти и перенастроить всех почтовых клиентов конечных пользователей.
Или, если вы знаете, откуда подключаются ваши пользователи, ограничьте подключения POP3 и IMAP этими подсетями.