Медленный брут-форс на почтовый сервер.
-
- Posts: 10
- Joined: Thu Apr 19, 2018 6:42 pm
- Os: Debian 8x
- Web: apache + nginx
Медленный брут-форс на почтовый сервер.
Всем добра!
Вкратце опишу ситуацию:
Перед вестой стоит snort ips\ids который блокает подозрительную активность или обращения к серверу с адресов которые занесены а глобальный блэк-лист.
Веста работает по дефолту, толком ничего не менялось. Почта работает ОК, fail2ban тоже отрабатывает подбор пароля. Но есть маленько НО, вот такие вот логи от dovecot:
Это длиться уже как пару месяцев. Очень медленно боты пробают мой почтовый сервер. Добавлять в бан SRC адреса (даже по целым сетям /20 - /24) - как бороться с ветряными мельницами. Они используют амазон или открытые прокси сервера для таргета и они меняются чуть ли не сразу после блока.
Вижу выход следующим образом: править\добавлять regexp для fail2ban dovecot config.
К сожалению, это не моя сильная сторона.
На данный момент конфиг выглядит следующим образом:
etc/fail2ban/filter.d/dovecot.conf:
Прошу не обессудьте за мои регулярные выражения. Как я уже и говорил не понимаю я их :)
В общем, я думаю, с этим нужно как-то бороться. И у многих, я думаю, такая же ситуация. Нигде никаких ивентов и алярм тригеров не срабатывает. Просто медленно, но уверенно бот нет делает свою мерзопакостную работу.
Возможно это уже где-то и обсуждалось, но я не нашел.
Прошу вашей помощи. У кого какие мысли?
Вкратце опишу ситуацию:
Перед вестой стоит snort ips\ids который блокает подозрительную активность или обращения к серверу с адресов которые занесены а глобальный блэк-лист.
Веста работает по дефолту, толком ничего не менялось. Почта работает ОК, fail2ban тоже отрабатывает подбор пароля. Но есть маленько НО, вот такие вот логи от dovecot:
Code: Select all
Jun 25 20:48:04 auth: Error: passwd-file(abuse,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Jun 25 21:02:36 auth: Error: passwd-file(events,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Jun 25 21:09:23 auth: Error: passwd-file(manager,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Jun 25 21:16:22 auth: Error: passwd-file(martin,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Jun 25 21:23:25 auth: Error: passwd-file(editors,88.164.126.91): stat(/etc/exim4/domains//passwd) failed: No such file or directory
Вижу выход следующим образом: править\добавлять regexp для fail2ban dovecot config.
К сожалению, это не моя сильная сторона.
На данный момент конфиг выглядит следующим образом:
etc/fail2ban/filter.d/dovecot.conf:
Code: Select all
# Fail2Ban filter Dovecot authentication and pop3/imap server
#
[INCLUDES]
before = common.conf
[Definition]
_daemon = (auth|dovecot(-auth)?|auth-worker)
failregex = ^%(__prefix_line)s(pam_unix(\(dovecot:auth\))?:)?\s+authentication failure; logname=\S* uid=\S* euid=\S* tty=dovecot ruser=\S* rhost=<HOST>(\s+user=\S*$
^%(__prefix_line)s(pop3|imap)-login: (Info: )?(Aborted login|Disconnected)(: Inactivity)? \(((auth failed, \d+ attempts)( in \d+ secs)?|tried to use (d$
^%(__prefix_line)s(Info|dovecot: auth\(default\)): pam\(\S+,<HOST>\): pam_authenticate\(\) failed: (User not known to the underlying authentication mod$
###May 02 19:14:59 auth: Error: passwd-file(elaine,159.65.175.241): stat(/etc/exim4/domains//passwd) failed: No such file or directo
#^%(__prefix_line)s(?:auth|Error\(\d+\)): (?:pam|passwd-file|stat)\(\S+,<HOST>\): failed\s*$
#^%(__prefix_line)s(?:auth|Error\(\d+\)): (?:pam|passwd-file|stat)\(\S+,<HOST>\): failed\s*$
^%(__prefix_line)s(?:auth|auth\(\d+\)): (?:pam|passwd-file)\(\S+,<HOST>\): No such file\s*$
^%(__prefix_line)s(?:auth): (?:Error): (?:passwd-file)\(\S+,<HOST>\): (?:stat): No such file\s*$
^%(__prefix_line)s(?:passwd-file)\(\S+,<HOST>\): No such file\s*$
ignoreregex =
# DEV Notes:
# * the first regex is essentially a copy of pam-generic.conf
# * Probably doesn't do dovecot sql/ldap backends properly
# * Removed the 'no auth attempts' log lines from the matches because produces
# lots of false positives on misconfigured MTAs making regexp unuseable
#
В общем, я думаю, с этим нужно как-то бороться. И у многих, я думаю, такая же ситуация. Нигде никаких ивентов и алярм тригеров не срабатывает. Просто медленно, но уверенно бот нет делает свою мерзопакостную работу.
Возможно это уже где-то и обсуждалось, но я не нашел.
Прошу вашей помощи. У кого какие мысли?
Re: Медленный брут-форс на почтовый сервер.
Вам не нужен на сервере fail2ban и iptables - snort'а должно быть достаточно для защиты сервера, если корректно настроен.
-
- Posts: 10
- Joined: Thu Apr 19, 2018 6:42 pm
- Os: Debian 8x
- Web: apache + nginx
Re: Медленный брут-форс на почтовый сервер.
@demian, и как по Вашему Снорт должен определить данного вида атаку?
Запросы идут вполне легитимные. Со стороны трафика ничего подозрительного в нем нет. Обычный запрос на почтовый сервер, меняются только имена. Это не эксплойт, это не инъекция, это не кривой запрос.
Это же касается и fail2ban. Но, у него по крайней мере есть доступ к логам, на основании чего можно сделать регексп. Возвращаемся к вопросу заданным в моем первом посте. Более того, этот вопрос актуален, так как гугл знает о проблеме, но не о решении :(
Плюс ко всему сказанному вряд ли у всех стоит снорт перед вестой.
PS: снорт стоит не на той же машинке что и веста.
PS2: Бот пробает каждые примерно 5 минут.
Запросы идут вполне легитимные. Со стороны трафика ничего подозрительного в нем нет. Обычный запрос на почтовый сервер, меняются только имена. Это не эксплойт, это не инъекция, это не кривой запрос.
Это же касается и fail2ban. Но, у него по крайней мере есть доступ к логам, на основании чего можно сделать регексп. Возвращаемся к вопросу заданным в моем первом посте. Более того, этот вопрос актуален, так как гугл знает о проблеме, но не о решении :(
Плюс ко всему сказанному вряд ли у всех стоит снорт перед вестой.
PS: снорт стоит не на той же машинке что и веста.
PS2: Бот пробает каждые примерно 5 минут.
Re: Медленный брут-форс на почтовый сервер.
Snort предназначен для выявления анамалий и различного рода атак: брутфорса, sql инекций, и пр. доступ к логам ему не нужен, анализируется тип трафика, виды запросов и ответов на них. посыл с одного и тогоже адреса запроса и разными именами на который сервер отвечает 403 - это уже аномалияlepriconio wrote: ↑Tue Jun 26, 2018 3:29 pm@demian, и как по Вашему Снорт должен определить данного вида атаку?
Запросы идут вполне легитимные. Со стороны трафика ничего подозрительного в нем нет. Обычный запрос на почтовый сервер, меняются только имена. Это не эксплойт, это не инъекция, это не кривой запрос.
Это же касается и fail2ban. Но, у него по крайней мере есть доступ к логам, на основании чего можно сделать регексп. Возвращаемся к вопросу заданным в моем первом посте. Более того, этот вопрос актуален, так как гугл знает о проблеме, но не о решении :(
Плюс ко всему сказанному вряд ли у всех стоит снорт перед вестой.
PS: снорт стоит не на той же машинке что и веста.
PS2: Бот пробает каждые примерно 5 минут.
fail2ban лишний кастыль, несущий, в любой системе, лишную(ака паразитную) нагрузку на процессор память и дисковую систему. то что делает fail2ban анализируя каждую минуту логи(в лучшем случае время реакции 2 минуты), Netfilter + iptables может делать в онлайне(время реакции 1- 2 секунды в зависимости от объема подключений).
пол года назд на одной из площадок стоял snort 2(cisco еще не выпустило финальный релиз snort 3 переписанного и лишенного старых болячек 2-го) - не умеет многопочтоность, что при большом трафике вносит задержки или увеличение мощности оборудования с запуском нескольких копий нюхающих один интерфейс, было принято решение заменить на suricata. с тех пор она и стоит на Core 2 Quad с GF 1030 обрабатывая большее количество конектов чем 2 x Xeon® E5-2660
-
- Posts: 10
- Joined: Thu Apr 19, 2018 6:42 pm
- Os: Debian 8x
- Web: apache + nginx
Re: Медленный брут-форс на почтовый сервер.
Запросы идут вполне легитимные. Со стороны трафика ничего подозрительного в нем нет. Обычный запрос на почтовый сервер, меняются только имена. Это не эксплойт, это не инъекция, это не кривой запрос.
Какие Вы видите аномалии в том что раз в 5-10 минут один из пользователей обращается к почтовому серверу?Snort предназначен для выявления анамалий и различного рода атак: брутфорса, sql инекций, и пр.
PS: Спасибо за интересную историю, но у меня самого вагон и целая тележка таких. Тем более, что я не привык использовать опен-сорс в проде. За частую fire-power + asa + forti mail.
По-поводу fail2ban - тут согласен, но свою работу он делает, больше от него не надо и от него больше и не требуется.
Возвращаясь к нашим баранам: снорт не видит эти "аномалии" (даже после тюна мейл рулов), так как запросы вполне обычные. Боты прсто проверяют какие пользователи есть на почтовом сервере. и делают это достаточно грамотно, что-бы обходить всякие эвристические методы.
А теперь давайте забудем, что я писал про снорт, чисто что-бы предоставить что-то готовое для тех, у кого нет снорта и для тех у кого будут такие же проблемы. А они будут. Так как этот бот-нет - огромный.
PS2: подбор на данный момент прекратился, список заблоканых адресов на сорте - более 240 хостов. Они имеют отношения к атаке на почтовый сервер (сверил адреса), но были они заблоканы совсем по другой причине - они были внесены в список хостов с низким доверием. Но это только на время, одна порция марионеток заблокировалась, 2я порция таких же марионеток - готовиться.
Re: Медленный брут-форс на почтовый сервер.
не важно с каким промежутком происходит перебор паролей хоть раз в сутки.
аномалия в том, что Logins: name разные с одного ip, ответ сервера всегда Failed Logins; content: incorrect
правила так-то можно свои писать.
аномалия в том, что Logins: name разные с одного ip, ответ сервера всегда Failed Logins; content: incorrect
правила так-то можно свои писать.
-
- Posts: 10
- Joined: Thu Apr 19, 2018 6:42 pm
- Os: Debian 8x
- Web: apache + nginx
Re: Медленный брут-форс на почтовый сервер.
Ответ как раз следующий:
failed: No such file or directory
Так в это то и суть этого треда, и это я еще озвучил в первом вводном посте:
То, что я пытался сделать - не привело к результатам, если бы был результат более-менее универсальный, где можно было-бы условно подменить слова которые будут парситься - то я бы просто выложил их тут со всеми описаниями, или на хабре (например), но я не смог этого сделать. Обратился туда, где в этом должны быть заинтересованы так же как и я и совместными усилиями, что-то но с этим сделать.lepriconio wrote: ↑Tue Jun 26, 2018 11:01 amВижу выход следующим образом: править\добавлять regexp для fail2ban dovecot config.
К сожалению, это не моя сильная сторона.
PS: ради интереса прочешите грепом свои dovrcot логи. если у вас такие проблемы?
Re: Медленный брут-форс на почтовый сервер.
failed: No such file or directory - этот ответ в логахlepriconio wrote: ↑Sun Jul 01, 2018 10:41 amОтвет как раз следующий:
failed: No such file or directory
Так в это то и суть этого треда, и это я еще озвучил в первом вводном посте:
во внешку будет другой ответ - Failed Logins должен присутствовать
поднему снорт постараюсь промоделировать.
на серверах не под защитой сурикаты, 3 неудачных коннекта в минуту блокировка на сутки.
на серверах под защитой сурикаты больше дольше двух попыток перебора, по основным портам, не наблюдал и больше 5 по http/https.