adm-lib.ru

Библиотека админа
Текущее время: 11 дек 2016, 05:12

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: Брут почты и фтп
СообщениеДобавлено: 19 мар 2012, 21:50 
Не в сети

Зарегистрирован: 19 мар 2011, 14:34
Сообщений: 40
FreeBSD 8.1-RELEASE-p2 FreeBSD 8.1-RELEASE-p2
Столкнулись со следующей проблемой - в логах

/var/log/maillog

Mar 19 18:41:43 domain postfix/smtp[17372]: connect to relay.mymail-in.net[217.20.163.69]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17376]: connect to relay.mymail-in.net[217.20.163.69]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17372]: connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17376]: connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17372]: 2ED6850833: to=<phoreoem@mymail-in.net>, relay=none, delay=2314, delays=2314/0/0.09/0, dsn=4.4.1, status=deferred (connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused)
Mar 19 18:41:43 domain postfix/smtp[17376]: A8E6050864: to=<alifsnawfrolf@mymail-in.net>, relay=none, delay=2175, delays=2175/0/0.09/0, dsn=4.4.1, status=deferred (connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused)

Какие есть варианты решить данную проблему?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Брут почты и фтп
СообщениеДобавлено: 19 мар 2012, 22:00 
Не в сети
Администратор

Зарегистрирован: 24 янв 2011, 11:05
Сообщений: 43
serg-php писал(а):
Mar 19 18:41:43 domain postfix/smtp[17372]: connect to relay.mymail-in.net[217.20.163.69]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17376]: connect to relay.mymail-in.net[217.20.163.69]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17372]: connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17376]: connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused
Mar 19 18:41:43 domain postfix/smtp[17372]: 2ED6850833: to=<phoreoem@mymail-in.net>, relay=none, delay=2314, delays=2314/0/0.09/0, dsn=4.4.1, status=deferred (connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused)
Mar 19 18:41:43 domain postfix/smtp[17376]: A8E6050864: to=<alifsnawfrolf@mymail-in.net>, relay=none, delay=2175, delays=2175/0/0.09/0, dsn=4.4.1, status=deferred (connect to mail.mymail-in.net[217.20.163.8]:25: Connection refused)


Где Вы увидели тут бут почты? Насколько я вижу, это Ваш почтарь пытается отправить спам(?) и нарывается на спам-защиту...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Брут почты и фтп
СообщениеДобавлено: 19 мар 2012, 22:20 
Не в сети

Зарегистрирован: 19 мар 2011, 14:34
Сообщений: 40
А вот это что?

Mar 19 03:03:47 mydomain postfix/smtpd[49183]: disconnect from unknown[220.68.245.112]
Mar 19 03:03:47 mydomain dovecot: pop3-login: Disconnected: Shutting down (auth failed, 1 attempts): user=<a@mydomain>, method=PLAIN, rip=220.68.245.112, lip=88.198.44.35
Mar 19 03:03:47 mydomain dovecot: auth(default): client in: AUTH 1 PLAIN service=pop3 lip=88.198.44.35
rip=220.68.245.112 lport=110 rport=55023 resp=<hidden>
Mar 19 03:03:47 mydomain dovecot: auth-worker(default): sql(aa@mydomain.com,220.68.245.112): query: SELECT passwd
as password FROM users WHERE user = 'aa@mydomain.com'
Mar 19 03:03:47 mydomain dovecot: auth-worker(default): sql(aa@mydomain.com,220.68.245.112): unknown user
Mar 19 03:03:48 mydomain dovecot: auth(default): new auth connection: pid=49363
Mar 19 03:03:49 mydomain dovecot: auth(default): client out: FAIL 1 user=aa@mydomain.com
Mar 19 03:03:50 mydomain postfix/smtpd[49183]: connect from unknown[220.68.245.112]
Mar 19 03:03:50 mydomain postfix/smtpd[49183]: lost connection after UNKNOWN from unknown[220.68.245.112]
Mar 19 03:03:50 mydomain postfix/smtpd[49183]: disconnect from unknown[220.68.245.112]
Mar 19 03:03:50 mydomain dovecot: pop3-login: Disconnected: Shutting down (auth failed, 1 attempts): user=<aa@mydomain.com>, method=PLAIN, rip=220.68.245.112, lip=88.198.44.35
Mar 19 03:03:51 mydomain dovecot: auth(default): client in: AUTH 1 PLAIN service=pop3 lip=88.198.44.35
rip=220.68.245.112 lport=110 rport=55257 resp=<hidden>
Mar 19 03:03:51 mydomain dovecot: auth-worker(default): sql(aaa@mydomain.com,220.68.245.112): query: SELECT passw
d as password FROM users WHERE user = 'aaa@mydomain.com'
Mar 19 03:03:51 mydomain dovecot: auth-worker(default): sql(aaa@mydomain.com,220.68.245.112): unknown user
Mar 19 03:03:51 mydomain dovecot: auth(default): new auth connection: pid=49364
Mar 19 03:03:53 mydomain dovecot: auth(default): client out: FAIL 1 user=aaa@mydomain.com
Mar 19 03:03:53 mydomain postfix/smtpd[49183]: connect from unknown[220.68.245.112]
Mar 19 03:03:54 mydomain postfix/smtpd[49183]: lost connection after UNKNOWN from unknown[220.68.245.112]
Mar 19 03:03:54 mydomain postfix/smtpd[49183]: disconnect from unknown[220.68.245.112]
Mar 19 03:03:54 mydomain dovecot: pop3-login: Disconnected: Shutting down (auth failed, 1 attempts): user=<aaa@pellet
mydomain.com>, method=PLAIN, rip=220.68.245.112, lip=88.198.44.35
Mar 19 03:03:55 mydomain dovecot: auth(default): client in: AUTH 1 PLAIN service=pop3 lip=88.198.44.35
rip=220.68.245.112 lport=110 rport=55523 resp=<hidden>
Mar 19 03:03:55 mydomain dovecot: auth-worker(default): sql(aaaa@mydomain.com,220.68.245.112): query: SELECT pass
wd as password FROM users WHERE user = 'aaaa@mydomain.com'
Mar 19 03:03:55 mydomain dovecot: auth-worker(default): sql(aaaa@mydomain.com,220.68.245.112): unknown user
Mar 19 03:03:55 mydomain dovecot: auth(default): new auth connection: pid=49365
Mar 19 03:03:57 mydomain dovecot: auth(default): client out: FAIL 1 user=aaaa@mydomain.com


Когда начинается такое нашествие, то невозможно получить почту реальным юзерам!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Брут почты и фтп
СообщениеДобавлено: 19 мар 2012, 22:32 
Не в сети
Администратор

Зарегистрирован: 24 янв 2011, 11:05
Сообщений: 43
serg-php писал(а):
А вот это что?
Код:
Mar 19 03:03:55 mydomain dovecot: auth(default): client in: AUTH    1       PLAIN   service=pop3    lip=88.198.44.35
rip=220.68.245.112      lport=110       rport=55523     resp=<hidden>
Mar 19 03:03:55 mydomain dovecot: auth-worker(default): sql(aaaa@mydomain.com,220.68.245.112): query: SELECT pass
wd as password FROM users WHERE user = 'aaaa@mydomain.com'
Mar 19 03:03:55 mydomain dovecot: auth-worker(default): sql(aaaa@mydomain.com,220.68.245.112): unknown user
Mar 19 03:03:55 mydomain dovecot: auth(default): new auth connection: pid=49365
Mar 19 03:03:57 mydomain dovecot: auth(default): client out: FAIL   1       user=aaaa@mydomain.com
Когда начинается такое нашествие, то невозможно получить почту реальным юзерам!


Это больше похоже на подбор паролей. Но попытки взлома, подбора паролей - для интернета это нормальное явление. Тем более, что на другой стороне, скорее всего, робот. :)
Ну, подбирают пароли, и что? Пусть себе резвятся на здоровье.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Брут почты и фтп
СообщениеДобавлено: 19 мар 2012, 22:43 
Не в сети

Зарегистрирован: 19 мар 2011, 14:34
Сообщений: 40
Цитата:
Ну, подбирают пароли, и что? Пусть себе резвятся на здоровье.


1.
Цитата:
Когда начинается такое нашествие, то невозможно получить почту реальным юзерам!

2. Создается нагрузка на почтовый сервер


Может быть использовать такое решение - Fail2ban (Ошибся с паролем 2 раза и в бан по ip) ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Брут почты и фтп
СообщениеДобавлено: 20 мар 2012, 09:13 
Не в сети
Администратор

Зарегистрирован: 24 янв 2011, 11:05
Сообщений: 43
serg-php писал(а):
1.
Цитата:
Когда начинается такое нашествие, то невозможно получить почту реальным юзерам!

2. Создается нагрузка на почтовый сервер

Может быть использовать такое решение - Fail2ban (Ошибся с паролем 2 раза и в бан по ip) ?


- Fail2ban - это тоже вариант.
- Если пользователи не распределены по всему миру, то почему бы не ограничить pop3 только на тех провайдеров, откуда работают пользователи?
- Почему бы не разобраться с папами в ipfw и не ограничить скорость, с которой возможно подключаться к pop3?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Брут почты и фтп
СообщениеДобавлено: 20 мар 2012, 16:36 
Не в сети

Зарегистрирован: 19 мар 2011, 14:34
Сообщений: 40
Цитата:
Fail2ban - это тоже вариант.


Особенно, если поднять мини-майл.ру. Почему-то это решение представляется наиболее интересным.

Цитата:
- Если пользователи не распределены по всему миру, то почему бы не ограничить pop3 только на тех провайдеров, откуда работают пользователи?


К сожалению, так оно и есть.

Цитата:
- Почему бы не разобраться с папами в ipfw и не ограничить скорость, с которой возможно подключаться к pop3?


Для 5-10 почтовых аков это мог бы быть вариант!


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB