Domanda:
Qualcuno sta cercando di forzare brute (?) Il mio server di posta privato ... molto ... lentamente ... e cambiando gli IP
Heinzi
2017-11-27 13:22:53 UTC
view on stackexchange narkive permalink

Questo va avanti da circa 1-2 giorni ormai: 

  heinzi @ guybrush: ~ $ less /var/log/mail.log | grep '^ 27 nov. * postfix / submission. * warning' [...] 27 nov 03:36:16 guybrush postfix / submission / smtpd [7523]: warning: hostname bd676a3d.virtua.com.br non risolve indirizzo 189.103.106.61 27 nov 03:36:22 guybrush postfix / submission / smtpd [7523]: avviso: sconosciuto [189.103.106.61]: autenticazione SASL PLAIN non riuscita: 27 nov 03:36:28 guybrush postfix / submission / smtpd [7523 ]: warning: unknown [189.103.106.61]: autenticazione SASL LOGIN fallita: VXNlcm5hbWU6Nov 27 04:08:58 guybrush postfix / submission / smtpd [8714]: warning: hostname b3d2f64f.virtua.com.br non risolve l'indirizzo 179.210. 246.79Nov 27 04:09:03 guybrush postfix / submission / smtpd [8714]: warning: unknown [179.210.246.79]: autenticazione SASL PLAIN fallita: Nov 27 04:09:09 guybrush postfix / submission / smtpd [8714]: warning : sconosciuto [179.210.246.79]: autenticazione LOGIN SASL non riuscita: VXNlcm5hbWU6Nov 27 05:20:11 guybrush postfix / submission / smtpd [10175]: avviso: hostname b3d0600e.virtua.com.br non risolve all'indirizzo 179.208.96.14Nov 2705:20:16 guybrush postfix / submission / smtpd [10175]: warning: unknown [179.208.96.14]: autenticazione SASL PLAIN non riuscita: 27 nov 05:20:22 guybrush postfix / submission / smtpd [10175]: warning: unknown [ 179.208.96.14]: autenticazione SASL LOGIN non riuscita: VXNlcm5hbWU6Nov 27 06:42:43 guybrush postfix / submission / smtpd [12927]: avviso: hostname b18d3903.virtua.com.br non risolve all'indirizzo 177.141.57.3Nov 27 06:42 : 48 guybrush postfix / submission / smtpd [12927]: warning: unknown [177.141.57.3]: autenticazione SASL PLAIN fallita: 27 nov 06:42:54 guybrush postfix / submission / smtpd [12927]: warning: unknown [177.141.57.3 ]: Autenticazione SASL LOGIN non riuscita: VXNlcm5hbWU6Nov 27 08:01:08 guybrush postfix / submission / smtpd [14161]: avviso: hostname b3db68ad.virtua.com.br non risolve all'indirizzo 179.219.104.173
27 nov 08:01:13 guybrush postfix / submission / smtpd [14161]: warning: unknown [179.219.104.173]: autenticazione SASL PLAIN fallita: nov 27 08:01:19 guybrush postfix / submission / smtpd [14161]: warning: sconosciuto [179.219.104.173]: autenticazione LOGIN SASL non riuscita: VXNlcm5hbWU6

C'è un singolo tentativo di accesso non riuscito ogni 1-2 ore, sempre dallo stesso dominio, ma ogni volta da un IP diverso indirizzo. Pertanto, non attiverà fail2ban ei messaggi di logcheck iniziano a infastidirmi. :-)

Le mie domande:

  1. Qual è lo scopo di questo tipo di "attacco"? La velocità è troppo lenta per eseguire una forzatura bruta efficiente e dubito davvero che qualcuno miri specificamente al mio minuscolo server personale.

  2. C'è qualcosa che posso fare contro di esso tranne il divieto dell'intera gamma di IP di quel provider? Potrei semplicemente smetterla di preoccuparmi e aggiungere quei messaggi al mio logcheck ignore config (poiché le mie password sono forti), ma questo potrebbe farmi perdere attacchi più seri.

Non importa se il tuo server personale è piccolo o meno.Può comunque diventare utile alla botnet.La bassa velocità potrebbe essere semplicemente per evitare di far scattare qualsiasi meccanismo di rilevamento in atto (anche se è solo la mia opinione, non farò affermazioni difficili).Per quanto riguarda il divieto della gamma di provider, non importa neanche questo.Botnet ha molti ips disponibili e potenzialmente falsificabili.
È lo stesso account che viene provato o account diversi?
@schroeder: Bella domanda.Ho appena abilitato la registrazione dei nomi utente dei tentativi falliti e riporterò indietro.
@Heinzi questa sembrerebbe essere un'informazione cruciale.Se è lo stesso account e non uno che hai, qualcuno ha configurato male il proprio server
@schroeder: I nomi utente provati nelle ultime due ore sono "info @ " (1 tentativo), "admin @ " (1 tentativo) e "AB " (2 tentativi).A me sembra un classico indovinare la forza bruta.
L'ho già visto sui miei honeypot.È "radiazione di fondo".I tentativi di forza bruta si estendono su un ambito molto ampio.La risposta dell'ospite è probabilmente quella corretta.
Soluzione semplice: [Fail2Ban] (https://www.fail2ban.org/wiki/index.php/Main_Page) con una jail personalizzata e maxretry impostato su 1. Questo è quello che uso e funziona bene.
È interessante notare che sembrano tutti provenire da un datacenter di proprietà di Virtua in Brasile.Il che mi fa chiedere, chi pagherebbe per i server se potessero usare anche bot che non costano denaro e non sono collegati alla loro carta di credito?
@Damon Virtua come datacenter?Di che diavolo stai parlando?Virtua è l'antico nome di http://www.netcombo.com.br/, un provider di servizi Internet / TV via cavo residenziale.Puoi anche vedere che la prima parte degli indirizzi sembra essere MAC del cliente.
Questa sembra essere una scansione per le password predefinite, poiché il LOGIN fornito è un nome utente di "Username" e una password della stringa vuota.
Se sei abbastanza piccolo, puoi inserire nella whitelist ogni netblock ip da cui i tuoi dispositivi potrebbero controllare la posta.Quindi sarebbe qualsiasi blocco IP assegnato al tuo cellulare e l'IP varia da siti remoti in cui potresti ottenere il wireless (amici, posto di lavoro, ecc.) O semplicemente rimanere sui dati cellulari.Non è davvero consigliabile per qualcosa di più grande di un ambiente domestico.
Un altro mitigatore sporco è disabilitare le connessioni IPv4 e consentire solo i controlli della posta tramite IPv6, supponendo che tu lo abbia su entrambe le estremità.Gli script kiddies tendono a concentrarsi solo sulle connessioni IPv4.
@Heinzi Se l'attacco proviene da un host connesso a Virtua, questo è il motivo per cui vedi IP in continua evoluzione.Questa connessione è nota per cambiare improvvisamente gli IP senza motivo durante l'utilizzo e può essere fonte di mal di testa per alcune applicazioni.È una connessione domestica, intendiamoci, quindi la macchina che attacca è probabilmente parte di una botnet di un utente domestico che cerca di fare "cose divertenti"
Google per `fail2ban`.
@peterh: Si prega di leggere di nuovo la domanda, fail2ban è già menzionato.
IIUC correttamente, gli attacchi stessi hanno circa zero possibilità di successo, ma il problema principale è che stanno riempiendo il logcheck e potrebbero oscurare altri attacchi più gravi.Destra?
@smci: Esattamente.Posso semplicemente aggiungere quei messaggi al mio logcheck ignore config, ma ero preoccupato di poter perdere attacchi più seri in quel momento.Tuttavia, dopo aver letto le risposte, sembra che non ci sia una risposta facile a questo problema e dovrei semplicemente filtrare quei messaggi e smetterla di preoccuparmi.
@Heinzi: ok ma il punto è che vuoi modificare e riformulare la domanda secondo la mia parafrasi sopra.
@smci: Fatto.Ho cercato di ridurre il più possibile la modifica, per evitare di invalidare le risposte esistenti.
Cinque risposte:
guest
2017-11-27 13:27:31 UTC
view on stackexchange narkive permalink

Qual è lo scopo di questo tipo di "attacco"? La velocità è troppo lenta per eseguire una forzatura bruta efficiente e dubito davvero che qualcuno miri specificamente al mio minuscolo server personale.

La velocità è lenta, o il totale quantità di dati inviati è piccola? Potresti vedere le connessioni molto raramente, ma come fai a sapere che i robot che eseguono la forzatura bruta non saturano costantemente i loro uplink e il tuo sito è solo uno dei tanti attaccati? Non c'è alcun vantaggio per un utente malintenzionato di trascorrere un breve periodo di tempo cercando un sito alla volta (e innescando fail2ban), rispetto ad attaccare un numero enorme di server contemporaneamente, in cui ogni server vede solo connessioni poco frequenti. Entrambi possono avere la stessa frequenza di tentativi di autenticazione in uscita al secondo.

C'è qualcosa che posso fare contro di esso eccetto escludere l'intervallo IP completo di quel provider (o ignorare i messaggi, poiché le mie password sono forti) ?

Improbabile. È probabile che provengano da una botnet o da un cluster di VPS a basso costo. Non è possibile determinare quali altri intervalli IP possono essere utilizzati solo vedendone alcuni. Se non si trovano sulla stessa sottorete, non possono essere previsti. Puoi tranquillamente ignorare queste connessioni. Non è altro che il rumore di fondo di Internet.

a 1 tentativo / ora ci vogliono circa 4 giorni per provare le 100 password più comuni su un account senza far scattare nulla ... posso vedere un enorme ritorno su questo tipo di attacco per qualcuno che costruisce una botnet ...
Forse cambia la password dell'amministratore con una che hanno già provato.Questo li farà inciampare.
@Caterpillaraoz Quindi stai suggerendo di _non_ eseguire server protetti contro l'accesso remoto da una password scelta da un elenco di 100 delle password più comuni?
@Caterpillaraoz Non sai quanti server stanno colpendo.In 4 giorni, se inviano le prime 100 password a 30.000 server di posta, è molto probabile che siano arrivate ad alcune di esse.
Suggerisco di usare tutti "baseball!"come password: P @Qwertie questo è ciò che intendo, "andare piano" su molte migliaia di server e colpire molti molti molti molti account, per curiosità ho provato a SSH come amministratore predefinito nella F **** G della mia aziendaDATABASE e sono entrato ...
Le password non sarebbero usate comunemente se non fossero buone, giusto?
@StigHemmer Questo è il motivo per cui le aziende hanno per lo più standardizzato su "Password123!"
@James_pic: Non indovinerei mai la password123 !, Di solito mi arrendo dopo Admin, admin e root e chiedo a qualcuno che conosce la password
Una cosa che potrebbe estrarre una piccola misura di dolore è se il tempo di risposta per un tentativo di password fallito contro il tuo host fosse aumentato.
@Christian Grazie ad Apple, il root è un'ipotesi davvero fantastica su molti Mac in questi giorni.
@Daniel Come nome utente
David Rouse
2017-11-27 19:32:18 UTC
view on stackexchange narkive permalink

Domanda 1 - A meno che non si tratti di una configurazione errata (come menzionato nei commenti), nella mia esperienza sembra che si tratti di attacchi automatici alla ricerca di account da cui possono essere inviate e-mail commerciali non richieste (o tentativi di phishing).

Domanda 2 - Se l'intervallo di IP da cui provengono i tuoi dati di accesso legittimi è sufficientemente piccolo e conoscibile, potrebbe essere più semplice bloccare tutto tranne quegli intervalli.

Gestisco una email di piccole imprese server, questo tipo di sondaggio avviene quasi continuamente per noi.

Tiberiu-Ionuț Stan
2017-11-28 03:51:13 UTC
view on stackexchange narkive permalink

1 tentativo ogni 1-2 ore? Non è una forza bruta.

Forse è l'iPhone di qualcuno con una password scaduta. Probabilmente la tua! Oppure, se stai riutilizzando gli indirizzi IP di una società di hosting, il precedente "proprietario" potrebbe ancora avere qualche client di posta da qualche parte, configurato per andare [ora] ai tuoi IP.

Se hai gli indirizzi IP, il minimo che potresti fare è rintracciarli.

VXNlcm5hbWU6 è apparentemente una codifica base64 di "Username", che apparentemente Postfix invia come prompt codificato.Qualcosa correlato a "AUTH LOGIN" (molti hit di Google)
@infixed Sì, quella stringa è una parte standard del meccanismo AUTH LOGIN.In AUTH LOGIN, tutto è codificato in base64 in entrambe le direzioni.Sotto quella codifica, lo scambio è semplice: (1) il server invia "Username" (2) il client invia il nome utente (3) il server invia "Password" (4) il client invia la password.(Anche se mi chiedo se la presenza della stringa nel file di registro potrebbe indicare che il client sta effettivamente inviando "Username" come nome utente ...)
Se raggiungi 30.000 server ogni 90 minuti, sono ancora 5,5 richieste al secondo, sì, questa è forza bruta.
La forza bruta riguarda l'avvicinamento, non la velocità.L'attacco descritto costituisce sicuramente "forza bruta", anche se il suo tasso evoca piuttosto connotazioni con "gentile gentilezza".
Yakk
2017-11-28 01:58:53 UTC
view on stackexchange narkive permalink

La pratica standard esistente di vietare gli IP che ripetutamente tentano di violare un sistema funziona solo contro attacchi mirati.

Una botnet può trovare un enorme elenco di server e distribuire sia chi sta effettuando l'attacco che chi attaccano tra le botnet. Il sintomo sarà un livello di background di tentativi di accesso falliti contro il tuo sistema, fino a quando uno non avrà successo, a quel punto distribuiranno alcuni kit che escono a root e aggiungeranno il tuo sistema alla botnet.

Tu può difendersi da questo in pochissimi modi.

Le password complesse sono una possibile difesa, ma devono essere associate a mantenere il sistema altrimenti protetto da attacchi non basati su password. Supponiamo che venga fuori che c'è un attacco di overflow / underflow del buffer sul tuo sistema di login; la botnet potrebbe essere cambiata per eseguire quell'attacco e eseguire il root di migliaia di sistemi al minuto, incluso il tuo.

Un'altra difesa potrebbe essere l'oscurità. Questi tipi di attacchi vanno dopo i frutti a caduta bassa. Modifica il tuo sistema di accesso per (diciamo) richiedere un ping a un particolare numero di porta prima di consentire i tentativi di accesso. Questa è puramente oscurità, ma improvvisamente smette di sembrare che ci sia un posto per accedere lì. Il costo è che ora devi creare un ping specifico per accedere da remoto. Oppure puoi inserire nella whitelist alcuni indirizzi IP da cui ti è permesso accedere da remoto.

Un ultimo approccio estremamente difficile sarebbe quello di generare un rilevatore di sistema di hacking delle password botnet distribuito. Proprio come i sistemi tengono traccia degli indirizzi IP che li attaccano, un sistema distribuito potrebbe tenere traccia delle botnet che attaccano chiunque. Aggiungi un sistema di flusso di fiducia e potresti costruire un'infrastruttura in grado di rilevare tali botnet che violano le password e fare in modo che tutti le blocchino.

Un tale sforzo richiederebbe anni di lavoro e probabilmente fallirebbe. Ma è qualcosa che potresti fare.

Per ulteriori informazioni su questo, leggi su [Hail Mary Cloud] (http://bsdly.blogspot.co.uk/2013/10/the-hail-mary-cloud-and-lessons-learned.html).
@JdeBP Può dare una risposta a questo breve commento?Una risposta con il termine "Ave Maria Cloud" e il riferimento fornito dovrebbe essere qui.
Harry McGovern
2017-11-28 21:03:51 UTC
view on stackexchange narkive permalink

Autenticazione SASL PLAIN fallita: andb3db68ad.virtua.com.br non risolve l'indirizzo 179.219.104.173

Finché non hai l'autenticazione PLAIN abilitata per nessun utente, dovresti essere a posto. Inoltre, questo: b3db68ad.virtua.com.br non risolve l'indirizzo 179.219.104.173 ti dice che il dominio (i) è un dominio fasullo, poiché non si risolve sull'IP utilizzato. Un altro fallimento. Quindi potrebbe non provenire nemmeno da quel dominio. Puoi passare molto tempo con Postfix scrivendo regole per vietare questo genere di cose, ma alla fine la quantità di tempo che spendi supera di gran lunga il carico sul tuo sistema.

Metodi di autenticazione più sicuri (hashing + - kerberos) proteggono solo la password dall'essere sniffata da qualche parte lungo il percorso o dai log, il che significa che protegge l'utente la password viene utilizzata, possibilmente attraverso un login centralizzato, per l'autenticazione su altri sistemi. Quindi non starà bene!La forza bruta funziona ancora, indipendentemente da quanto sia sicuro il test delle password, anche con Kerberos che utilizza una sorta di approccio hash + challenge (per non inviare nemmeno un hash riutilizzabile sulla rete).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...