adm-lib.ru
http://adm-lib.ru/forum/

Брут почты и фтп
http://adm-lib.ru/forum/viewtopic.php?f=3&t=63
Страница 1 из 1

Автор:  serg-php [ 19 мар 2012, 21:50 ]
Заголовок сообщения:  Брут почты и фтп

FreeBSD 8.1-RELEASE-p2 FreeBSD 8.1-RELEASE-p2
Столкнулись со следующей проблемой - в логах

/var/log/maillog

Mar 19 18:41:43 domain postfix/smtp[17372]: connect to relay.mymail-in.net[217.20.163.69]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17376]: connect to relay.mymail-in.net[217.20.163.69]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17372]: connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17376]: connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17372]: 2ED6850833: to=<phoreoem@mymail-in.net>, relay=none, delay=2314, delays=2314/0/0.09/0, dsn=4.4.1, status=deferred (connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused)
Mar 19 18:41:43 domain postfix/smtp[17376]: A8E6050864: to=<alifsnawfrolf@mymail-in.net>, relay=none, delay=2175, delays=2175/0/0.09/0, dsn=4.4.1, status=deferred (connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused)

Какие есть варианты решить данную проблему?

Автор:  Victor [ 19 мар 2012, 22:00 ]
Заголовок сообщения:  Re: Брут почты и фтп

serg-php писал(а):
Mar 19 18:41:43 domain postfix/smtp[17372]: connect to relay.mymail-in.net[217.20.163.69]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17376]: connect to relay.mymail-in.net[217.20.163.69]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17372]: connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17376]: connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17372]: 2ED6850833: to=<phoreoem@mymail-in.net>, relay=none, delay=2314, delays=2314/0/0.09/0, dsn=4.4.1, status=deferred (connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused)
Mar 19 18:41:43 domain postfix/smtp[17376]: A8E6050864: to=<alifsnawfrolf@mymail-in.net>, relay=none, delay=2175, delays=2175/0/0.09/0, dsn=4.4.1, status=deferred (connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused)


Где Вы увидели тут бут почты? Насколько я вижу, это Ваш почтарь пытается отправить спам(?) и нарывается на спам-защиту...

Автор:  serg-php [ 19 мар 2012, 22:20 ]
Заголовок сообщения:  Re: Брут почты и фтп

А вот это что?

Mar 19 03:03:47 mydomain postfix/smtpd[49183]: disconnect from unknown[220.68.245.112]
Mar 19 03:03:47 mydomain dovecot: pop3-login: Disconnected: Shutting down (auth failed, 1 attempts): user=<a@mydomain>, method=PLAIN, rip=220.68.245.112, lip=88.198.44.35
Mar 19 03:03:47 mydomain dovecot: auth(default): client in: AUTH 1 PLAIN service=pop3 lip=88.198.44.35
rip=220.68.245.112 lport=110 rport=55023 resp=<hidden>
Mar 19 03:03:47 mydomain dovecot: auth-worker(default): sql(aa@mydomain.com,220.68.245.112): query: SELECT passwd
as password FROM users WHERE user = 'aa@mydomain.com'
Mar 19 03:03:47 mydomain dovecot: auth-worker(default): sql(aa@mydomain.com,220.68.245.112): unknown user
Mar 19 03:03:48 mydomain dovecot: auth(default): new auth connection: pid=49363
Mar 19 03:03:49 mydomain dovecot: auth(default): client out: FAIL 1 user=aa@mydomain.com
Mar 19 03:03:50 mydomain postfix/smtpd[49183]: connect from unknown[220.68.245.112]
Mar 19 03:03:50 mydomain postfix/smtpd[49183]: lost connection after UNKNOWN from unknown[220.68.245.112]
Mar 19 03:03:50 mydomain postfix/smtpd[49183]: disconnect from unknown[220.68.245.112]
Mar 19 03:03:50 mydomain dovecot: pop3-login: Disconnected: Shutting down (auth failed, 1 attempts): user=<aa@mydomain.com>, method=PLAIN, rip=220.68.245.112, lip=88.198.44.35
Mar 19 03:03:51 mydomain dovecot: auth(default): client in: AUTH 1 PLAIN service=pop3 lip=88.198.44.35
rip=220.68.245.112 lport=110 rport=55257 resp=<hidden>
Mar 19 03:03:51 mydomain dovecot: auth-worker(default): sql(aaa@mydomain.com,220.68.245.112): query: SELECT passw
d as password FROM users WHERE user = 'aaa@mydomain.com'
Mar 19 03:03:51 mydomain dovecot: auth-worker(default): sql(aaa@mydomain.com,220.68.245.112): unknown user
Mar 19 03:03:51 mydomain dovecot: auth(default): new auth connection: pid=49364
Mar 19 03:03:53 mydomain dovecot: auth(default): client out: FAIL 1 user=aaa@mydomain.com
Mar 19 03:03:53 mydomain postfix/smtpd[49183]: connect from unknown[220.68.245.112]
Mar 19 03:03:54 mydomain postfix/smtpd[49183]: lost connection after UNKNOWN from unknown[220.68.245.112]
Mar 19 03:03:54 mydomain postfix/smtpd[49183]: disconnect from unknown[220.68.245.112]
Mar 19 03:03:54 mydomain dovecot: pop3-login: Disconnected: Shutting down (auth failed, 1 attempts): user=<aaa@pellet
mydomain.com>, method=PLAIN, rip=220.68.245.112, lip=88.198.44.35
Mar 19 03:03:55 mydomain dovecot: auth(default): client in: AUTH 1 PLAIN service=pop3 lip=88.198.44.35
rip=220.68.245.112 lport=110 rport=55523 resp=<hidden>
Mar 19 03:03:55 mydomain dovecot: auth-worker(default): sql(aaaa@mydomain.com,220.68.245.112): query: SELECT pass
wd as password FROM users WHERE user = 'aaaa@mydomain.com'
Mar 19 03:03:55 mydomain dovecot: auth-worker(default): sql(aaaa@mydomain.com,220.68.245.112): unknown user
Mar 19 03:03:55 mydomain dovecot: auth(default): new auth connection: pid=49365
Mar 19 03:03:57 mydomain dovecot: auth(default): client out: FAIL 1 user=aaaa@mydomain.com


Когда начинается такое нашествие, то невозможно получить почту реальным юзерам!

Автор:  Victor [ 19 мар 2012, 22:32 ]
Заголовок сообщения:  Re: Брут почты и фтп

serg-php писал(а):
А вот это что?
Код:
Mar 19 03:03:55 mydomain dovecot: auth(default): client in: AUTH    1       PLAIN   service=pop3    lip=88.198.44.35
rip=220.68.245.112      lport=110       rport=55523     resp=<hidden>
Mar 19 03:03:55 mydomain dovecot: auth-worker(default): sql(aaaa@mydomain.com,220.68.245.112): query: SELECT pass
wd as password FROM users WHERE user = 'aaaa@mydomain.com'
Mar 19 03:03:55 mydomain dovecot: auth-worker(default): sql(aaaa@mydomain.com,220.68.245.112): unknown user
Mar 19 03:03:55 mydomain dovecot: auth(default): new auth connection: pid=49365
Mar 19 03:03:57 mydomain dovecot: auth(default): client out: FAIL   1       user=aaaa@mydomain.com
Когда начинается такое нашествие, то невозможно получить почту реальным юзерам!


Это больше похоже на подбор паролей. Но попытки взлома, подбора паролей - для интернета это нормальное явление. Тем более, что на другой стороне, скорее всего, робот. :)
Ну, подбирают пароли, и что? Пусть себе резвятся на здоровье.

Автор:  serg-php [ 19 мар 2012, 22:43 ]
Заголовок сообщения:  Re: Брут почты и фтп

Цитата:
Ну, подбирают пароли, и что? Пусть себе резвятся на здоровье.


1.
Цитата:
Когда начинается такое нашествие, то невозможно получить почту реальным юзерам!

2. Создается нагрузка на почтовый сервер


Может быть использовать такое решение - Fail2ban (Ошибся с паролем 2 раза и в бан по ip) ?

Автор:  Victor [ 20 мар 2012, 09:13 ]
Заголовок сообщения:  Re: Брут почты и фтп

serg-php писал(а):
1.
Цитата:
Когда начинается такое нашествие, то невозможно получить почту реальным юзерам!

2. Создается нагрузка на почтовый сервер

Может быть использовать такое решение - Fail2ban (Ошибся с паролем 2 раза и в бан по ip) ?


- Fail2ban - это тоже вариант.
- Если пользователи не распределены по всему миру, то почему бы не ограничить pop3 только на тех провайдеров, откуда работают пользователи?
- Почему бы не разобраться с папами в ipfw и не ограничить скорость, с которой возможно подключаться к pop3?

Автор:  serg-php [ 20 мар 2012, 16:36 ]
Заголовок сообщения:  Re: Брут почты и фтп

Цитата:
Fail2ban - это тоже вариант.


Особенно, если поднять мини-майл.ру. Почему-то это решение представляется наиболее интересным.

Цитата:
- Если пользователи не распределены по всему миру, то почему бы не ограничить pop3 только на тех провайдеров, откуда работают пользователи?


К сожалению, так оно и есть.

Цитата:
- Почему бы не разобраться с папами в ipfw и не ограничить скорость, с которой возможно подключаться к pop3?


Для 5-10 почтовых аков это мог бы быть вариант!

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/