We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
Медленный брут-форс на почтовый сервер.
-
- Posts: 10
- Joined: Thu Apr 19, 2018 6:42 pm
- Os: Debian 8x
- Web: apache + nginx
Медленный брут-форс на почтовый сервер.
Всем добра!
Вкратце опишу ситуацию:
Перед вестой стоит snort ips\ids который блокает подозрительную активность или обращения к серверу с адресов которые занесены а глобальный блэк-лист.
Веста работает по дефолту, толком ничего не менялось. Почта работает ОК, fail2ban тоже отрабатывает подбор пароля. Но есть маленько НО, вот такие вот логи от dovecot:
Это длиться уже как пару месяцев. Очень медленно боты пробают мой почтовый сервер. Добавлять в бан SRC адреса (даже по целым сетям /20 - /24) - как бороться с ветряными мельницами. Они используют амазон или открытые прокси сервера для таргета и они меняются чуть ли не сразу после блока.
Вижу выход следующим образом: править\добавлять regexp для fail2ban dovecot config.
К сожалению, это не моя сильная сторона.
На данный момент конфиг выглядит следующим образом:
etc/fail2ban/filter.d/dovecot.conf:
Прошу не обессудьте за мои регулярные выражения. Как я уже и говорил не понимаю я их :)
В общем, я думаю, с этим нужно как-то бороться. И у многих, я думаю, такая же ситуация. Нигде никаких ивентов и алярм тригеров не срабатывает. Просто медленно, но уверенно бот нет делает свою мерзопакостную работу.
Возможно это уже где-то и обсуждалось, но я не нашел.
Прошу вашей помощи. У кого какие мысли?
Вкратце опишу ситуацию:
Перед вестой стоит snort ips\ids который блокает подозрительную активность или обращения к серверу с адресов которые занесены а глобальный блэк-лист.
Веста работает по дефолту, толком ничего не менялось. Почта работает ОК, fail2ban тоже отрабатывает подбор пароля. Но есть маленько НО, вот такие вот логи от dovecot:
Code: Select all
Jun 25 20:48:04 auth: Error: passwd-file(abuse,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Jun 25 21:02:36 auth: Error: passwd-file(events,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Jun 25 21:09:23 auth: Error: passwd-file(manager,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Jun 25 21:16:22 auth: Error: passwd-file(martin,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Jun 25 21:23:25 auth: Error: passwd-file(editors,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Вижу выход следующим образом: править\добавлять regexp для fail2ban dovecot config.
К сожалению, это не моя сильная сторона.
На данный момент конфиг выглядит следующим образом:
etc/fail2ban/filter.d/dovecot.conf:
Code: Select all
# Fail2Ban filter Dovecot authentication and pop3/imap server
#
[INCLUDES]
before = common.conf
[Definition]
_daemon = (auth|dovecot(-auth)?|auth-worker)
failregex = ^%(__prefix_line)s(pam_unix(\(dovecot:auth\))?:)?\s+authentication failure; logname=\S* uid=\S* euid=\S* tty=dovecot ruser=\S* rhost=<HOST>(\s+user=\S*$
^%(__prefix_line)s(pop3|imap)-login: (Info: )?(Aborted login|Disconnected)(: Inactivity)? \(((auth failed, \d+ attempts)( in \d+ secs)?|tried to use (d$
^%(__prefix_line)s(Info|dovecot: auth\(default\)): pam\(\S+,<HOST>\): pam_authenticate\(\) failed: (User not known to the underlying authentication mod$
###May 02 19:14:59 auth: Error: passwd-file(elaine,159.65.175.241): stat(/etc/exim4/domains//passwd) failed: No such file or directo
#^%(__prefix_line)s(?:auth|Error\(\d+\)): (?:pam|passwd-file|stat)\(\S+,<HOST>\): failed\s*$
#^%(__prefix_line)s(?:auth|Error\(\d+\)): (?:pam|passwd-file|stat)\(\S+,<HOST>\): failed\s*$
^%(__prefix_line)s(?:auth|auth\(\d+\)): (?:pam|passwd-file)\(\S+,<HOST>\): No such file\s*$
^%(__prefix_line)s(?:auth): (?:Error): (?:passwd-file)\(\S+,<HOST>\): (?:stat): No such file\s*$
^%(__prefix_line)s(?:passwd-file)\(\S+,<HOST>\): No such file\s*$
ignoreregex =
# DEV Notes:
# * the first regex is essentially a copy of pam-generic.conf
# * Probably doesn't do dovecot sql/ldap backends properly
# * Removed the 'no auth attempts' log lines from the matches because produces
# lots of false positives on misconfigured MTAs making regexp unuseable
#
В общем, я думаю, с этим нужно как-то бороться. И у многих, я думаю, такая же ситуация. Нигде никаких ивентов и алярм тригеров не срабатывает. Просто медленно, но уверенно бот нет делает свою мерзопакостную работу.
Возможно это уже где-то и обсуждалось, но я не нашел.
Прошу вашей помощи. У кого какие мысли?
Re: Медленный брут-форс на почтовый сервер.
Вам не нужен на сервере fail2ban и iptables - snort'а должно быть достаточно для защиты сервера, если корректно настроен.
-
- Posts: 10
- Joined: Thu Apr 19, 2018 6:42 pm
- Os: Debian 8x
- Web: apache + nginx
Re: Медленный брут-форс на почтовый сервер.
@demian, и как по Вашему Снорт должен определить данного вида атаку?
Запросы идут вполне легитимные. Со стороны трафика ничего подозрительного в нем нет. Обычный запрос на почтовый сервер, меняются только имена. Это не эксплойт, это не инъекция, это не кривой запрос.
Это же касается и fail2ban. Но, у него по крайней мере есть доступ к логам, на основании чего можно сделать регексп. Возвращаемся к вопросу заданным в моем первом посте. Более того, этот вопрос актуален, так как гугл знает о проблеме, но не о решении :(
Плюс ко всему сказанному вряд ли у всех стоит снорт перед вестой.
PS: снорт стоит не на той же машинке что и веста.
PS2: Бот пробает каждые примерно 5 минут.
Запросы идут вполне легитимные. Со стороны трафика ничего подозрительного в нем нет. Обычный запрос на почтовый сервер, меняются только имена. Это не эксплойт, это не инъекция, это не кривой запрос.
Это же касается и fail2ban. Но, у него по крайней мере есть доступ к логам, на основании чего можно сделать регексп. Возвращаемся к вопросу заданным в моем первом посте. Более того, этот вопрос актуален, так как гугл знает о проблеме, но не о решении :(
Плюс ко всему сказанному вряд ли у всех стоит снорт перед вестой.
PS: снорт стоит не на той же машинке что и веста.
PS2: Бот пробает каждые примерно 5 минут.
Re: Медленный брут-форс на почтовый сервер.
Snort предназначен для выявления анамалий и различного рода атак: брутфорса, sql инекций, и пр. доступ к логам ему не нужен, анализируется тип трафика, виды запросов и ответов на них. посыл с одного и тогоже адреса запроса и разными именами на который сервер отвечает 403 - это уже аномалияlepriconio wrote: ↑Tue Jun 26, 2018 3:29 pm@demian, и как по Вашему Снорт должен определить данного вида атаку?
Запросы идут вполне легитимные. Со стороны трафика ничего подозрительного в нем нет. Обычный запрос на почтовый сервер, меняются только имена. Это не эксплойт, это не инъекция, это не кривой запрос.
Это же касается и fail2ban. Но, у него по крайней мере есть доступ к логам, на основании чего можно сделать регексп. Возвращаемся к вопросу заданным в моем первом посте. Более того, этот вопрос актуален, так как гугл знает о проблеме, но не о решении :(
Плюс ко всему сказанному вряд ли у всех стоит снорт перед вестой.
PS: снорт стоит не на той же машинке что и веста.
PS2: Бот пробает каждые примерно 5 минут.
fail2ban лишний кастыль, несущий, в любой системе, лишную(ака паразитную) нагрузку на процессор память и дисковую систему. то что делает fail2ban анализируя каждую минуту логи(в лучшем случае время реакции 2 минуты), Netfilter + iptables может делать в онлайне(время реакции 1- 2 секунды в зависимости от объема подключений).
пол года назд на одной из площадок стоял snort 2(cisco еще не выпустило финальный релиз snort 3 переписанного и лишенного старых болячек 2-го) - не умеет многопочтоность, что при большом трафике вносит задержки или увеличение мощности оборудования с запуском нескольких копий нюхающих один интерфейс, было принято решение заменить на suricata. с тех пор она и стоит на Core 2 Quad с GF 1030 обрабатывая большее количество конектов чем 2 x Xeon® E5-2660
-
- Posts: 10
- Joined: Thu Apr 19, 2018 6:42 pm
- Os: Debian 8x
- Web: apache + nginx
Re: Медленный брут-форс на почтовый сервер.
Запросы идут вполне легитимные. Со стороны трафика ничего подозрительного в нем нет. Обычный запрос на почтовый сервер, меняются только имена. Это не эксплойт, это не инъекция, это не кривой запрос.
Какие Вы видите аномалии в том что раз в 5-10 минут один из пользователей обращается к почтовому серверу?Snort предназначен для выявления анамалий и различного рода атак: брутфорса, sql инекций, и пр.
PS: Спасибо за интересную историю, но у меня самого вагон и целая тележка таких. Тем более, что я не привык использовать опен-сорс в проде. За частую fire-power + asa + forti mail.
По-поводу fail2ban - тут согласен, но свою работу он делает, больше от него не надо и от него больше и не требуется.
Возвращаясь к нашим баранам: снорт не видит эти "аномалии" (даже после тюна мейл рулов), так как запросы вполне обычные. Боты прсто проверяют какие пользователи есть на почтовом сервере. и делают это достаточно грамотно, что-бы обходить всякие эвристические методы.
А теперь давайте забудем, что я писал про снорт, чисто что-бы предоставить что-то готовое для тех, у кого нет снорта и для тех у кого будут такие же проблемы. А они будут. Так как этот бот-нет - огромный.
PS2: подбор на данный момент прекратился, список заблоканых адресов на сорте - более 240 хостов. Они имеют отношения к атаке на почтовый сервер (сверил адреса), но были они заблоканы совсем по другой причине - они были внесены в список хостов с низким доверием. Но это только на время, одна порция марионеток заблокировалась, 2я порция таких же марионеток - готовиться.
Re: Медленный брут-форс на почтовый сервер.
не важно с каким промежутком происходит перебор паролей хоть раз в сутки.
аномалия в том, что Logins: name разные с одного ip, ответ сервера всегда Failed Logins; content: incorrect
правила так-то можно свои писать.
аномалия в том, что Logins: name разные с одного ip, ответ сервера всегда Failed Logins; content: incorrect
правила так-то можно свои писать.
-
- Posts: 10
- Joined: Thu Apr 19, 2018 6:42 pm
- Os: Debian 8x
- Web: apache + nginx
Re: Медленный брут-форс на почтовый сервер.
Ответ как раз следующий:
failed: No such file or directory
Так в это то и суть этого треда, и это я еще озвучил в первом вводном посте:
То, что я пытался сделать - не привело к результатам, если бы был результат более-менее универсальный, где можно было-бы условно подменить слова которые будут парситься - то я бы просто выложил их тут со всеми описаниями, или на хабре (например), но я не смог этого сделать. Обратился туда, где в этом должны быть заинтересованы так же как и я и совместными усилиями, что-то но с этим сделать.lepriconio wrote: ↑Tue Jun 26, 2018 11:01 amВижу выход следующим образом: править\добавлять regexp для fail2ban dovecot config.
К сожалению, это не моя сильная сторона.
PS: ради интереса прочешите грепом свои dovrcot логи. если у вас такие проблемы?
Re: Медленный брут-форс на почтовый сервер.
failed: No such file or directory - этот ответ в логахlepriconio wrote: ↑Sun Jul 01, 2018 10:41 amОтвет как раз следующий:
failed: No such file or directory
Так в это то и суть этого треда, и это я еще озвучил в первом вводном посте:
во внешку будет другой ответ - Failed Logins должен присутствовать
поднему снорт постараюсь промоделировать.
на серверах не под защитой сурикаты, 3 неудачных коннекта в минуту блокировка на сутки.
на серверах под защитой сурикаты больше дольше двух попыток перебора, по основным портам, не наблюдал и больше 5 по http/https.