现在已经进行了大约1-2天:

heinzi@guybrush:~$ less /var/log/mail.log | grep '^Nov 27 .* postfix/submission.* warning'
[...]
Nov 27 03:36:16 guybrush postfix/submission/smtpd[7523]: warning: hostname bd676a3d.virtua.com.br does not resolve to address 189.103.106.61
Nov 27 03:36:22 guybrush postfix/submission/smtpd[7523]: warning: unknown[189.103.106.61]: SASL PLAIN authentication failed:
Nov 27 03:36:28 guybrush postfix/submission/smtpd[7523]: warning: unknown[189.103.106.61]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 04:08:58 guybrush postfix/submission/smtpd[8714]: warning: hostname b3d2f64f.virtua.com.br does not resolve to address 179.210.246.79
Nov 27 04:09:03 guybrush postfix/submission/smtpd[8714]: warning: unknown[179.210.246.79]: SASL PLAIN authentication failed:
Nov 27 04:09:09 guybrush postfix/submission/smtpd[8714]: warning: unknown[179.210.246.79]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 05:20:11 guybrush postfix/submission/smtpd[10175]: warning: hostname b3d0600e.virtua.com.br does not resolve to address 179.208.96.14
Nov 27 05:20:16 guybrush postfix/submission/smtpd[10175]: warning: unknown[179.208.96.14]: SASL PLAIN authentication failed:
Nov 27 05:20:22 guybrush postfix/submission/smtpd[10175]: warning: unknown[179.208.96.14]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 06:42:43 guybrush postfix/submission/smtpd[12927]: warning: hostname b18d3903.virtua.com.br does not resolve to address 177.141.57.3
Nov 27 06:42:48 guybrush postfix/submission/smtpd[12927]: warning: unknown[177.141.57.3]: SASL PLAIN authentication failed:
Nov 27 06:42:54 guybrush postfix/submission/smtpd[12927]: warning: unknown[177.141.57.3]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 08:01:08 guybrush postfix/submission/smtpd[14161]: warning: hostname b3db68ad.virtua.com.br does not resolve to address 179.219.104.173
Nov 27 08:01:13 guybrush postfix/submission/smtpd[14161]: warning: unknown[179.219.104.173]: SASL PLAIN authentication failed:
Nov 27 08:01:19 guybrush postfix/submission/smtpd[14161]: warning: unknown[179.219.104.173]: SASL LOGIN authentication failed: VXNlcm5hbWU6


每1-2小时就会有一次失败的登录尝试,并且总是来自同一域,但是每次都使用不同的IP地址。因此,它不会触发fail2ban,并且logcheck消息开始使我烦恼。 :-)

我的问题:


这种“攻击”的意义何在?速率太慢而无法进行有效的暴力破解,我真的怀疑有人会专门针对我的小型个人服务器。
除了禁止提供商的完整IP范围之外,我是否可以针对它采取其他措施?我可以不再担心,并将这些消息添加到我的logcheck ignore config中(因为我的密码很安全),但这可能会导致我错过更严重的攻击。<​​br />

评论

您的个人服务器是否很小并不重要。无论如何,它对于僵尸网络都将很有用。慢速可能只是为了避免绊倒任何检测机制(尽管那只是我的观点,不会做出任何艰难的陈述)。至于禁止提供者范围-都不重要。僵尸网络拥有大量可用的ip,并且它们可能具有欺骗性。

是尝试使用的是同一帐户还是不同的帐户?

@Heinzi,这似乎是至关重要的信息。如果是同一帐户而不是您拥有的帐户,则有人错误地配置了其服务器

@schroeder:最近两个小时内尝试的用户名是info @ (1次尝试),admin @ (1次尝试)和AB (2次尝试)。在我看来就像是经典的蛮力猜测。

我以前在我的蜜罐上看到过这个。这是“背景辐射”。暴力破解的企图在非常广泛的范围内展开。客人的答案可能是正确的。

#1 楼


这种“攻击”有什么意义?该速率太慢而无法进行有效的暴力破解,我真的怀疑有人会专门针对我的小型个人服务器。


速率很慢,或数据发送出去很小?您可能很少见到连接,但是您如何知道进行暴力破解的僵尸程序并没有不断使上行链路饱和,而您的站点只是被攻击的站点之一?与一次攻击大量服务器(每个服务器只看到很少的连接)相比,攻击者一次花一个短时间访问一个站点(并触发fail2ban)没有优势。两者每秒都可以具有相同的外发身份验证尝试速率。强)?


不太可能。可能来自僵尸网络或低成本VPS集群。仅通过查看其中的一些,就无法确定正在使用哪些其他IP范围。如果它们不在同一子网上,则无法预测它们。您可以放心地忽略这些连接。无非就是互联网的背景噪音。

评论


以每小时1次尝试的速度,大约需要4天的时间来尝试在一个帐户中使用100个最常用的密码,而不会绊倒任何东西...对于构筑僵尸网络的人,我可以看到这种攻击的巨大回报...

–Caterpillaraoz
17年11月27日在14:28

也许将管理员密码更改为他们已经尝试过的密码。那会让他们绊倒。

–土豆削皮
17年11月27日在23:11

@Caterpillaraoz您不知道他们要攻击多少台服务器。如果他们在四天内将前100个密码发送到30,000个邮件服务器,则很可能会加入其中的几个。

– Qwertie
17年11月28日在0:27

如果密码不好,就不会常用,对吗?

– Stig Hemmer
17年11月28日在9:19

@StigHemmer这就是为什么企业大多对“ Password123!”进行标准化的原因

–James_pic
17年11月28日在13:58

#2 楼

问题1-除非配置错误(如评论中所述),以我的经验来看,这似乎是自动攻击,旨在寻找可以从中发送未经请求的商业电子邮件(或网络钓鱼尝试)的帐户。

问题2-如果合法登录的IP范围是已知的并且足够小,则阻止那些范围之外的所有内容可能会更容易。 ,这种探测对我们几乎是连续发生的。

#3 楼

每1-2小时尝试1次?
这不是蛮力。

也许是别人的iPhone密码过期了。
可能是你的!
或者,如果您要重新使用托管公司的IP地址,以前的“所有者”仍然可以在某处放置一些电子邮件客户端,该电子邮件客户端被配置为可以立即访问您的IP。

如果您具有IP地址,那么您最少可以做的就是跟踪它们。

评论


VXNlcm5hbWU6显然是“用户名”的base64编码,显然Postfix确实将其作为编码提示发送。与“ AUTH LOGIN”(很多Google匹配)相关的内容

–固定
17年11月27日在22:45

@infixed是的,该字符串是AUTH LOGIN机制的标准部分。在AUTH LOGIN中,所有内容都是以base64编码的。在该编码下,交换很简单:(1)服务器发送“用户名”(2)客户端发送用户名(3)服务器发送“密码”(4)客户端发送密码。 (尽管我想知道日志文件中字符串的存在是否可能表明客户端实际上正在发送“ Username”作为用户名...)

– David Z
17年11月27日在23:49

如果您每90分钟访问3万台服务器,那么每秒仍然有5.5个请求,是的,这是蛮力的。

–丹尼尔·W。
17年11月29日在12:23

蛮力在于进场,而不是速度。所描述的攻击绝对构成了“蛮力”,尽管它的发生率反而唤起了“温柔仁慈”的内涵。

–Agent_L
17年11月30日在16:19

#4 楼

禁止重复尝试侵入系统的IP的现有标准做法只能抵御有针对性的攻击。<​​br />
僵尸网络可以找到庞大的服务器列表,并分发进行攻击的人和攻击者在僵尸网络中。症状将是针对您的系统的登录尝试失败的背景级别,直到成功为止,这时他们将部署一些升级到root的工具包,并将您的系统添加到僵尸网络。您可以通过几种方法来防御这种情况。

强密码是一种可能的防御方式,但需要与保护您的系统配合使用,否则将对非基于密码的攻击保持安全。假设发现登录系统上存在缓冲区溢出/下溢攻击;僵尸网络可以切换为每分钟进行一次攻击,并且每分钟攻击1000个系统,包括您的系统。

另一种防御措施可能是晦涩难懂。这类攻击是在难以实现的结果之后进行的。将登录系统修改为(例如)要求对特定端口号执行ping操作,然后才能尝试登录。这纯粹是晦涩难懂,但是突然间,它似乎停止了登录,似乎不再存在。代价是您现在需要设计特定的ping才能远程登录。或者,您可以将允许您从其远程登录的一些IP地址列入白名单。

最后一种极其困难的方法是生成分布式僵尸网络密码黑客系统检测器。正如系统跟踪攻击它们的IP地址一样,分布式系统也可以跟踪僵尸网络攻击任何人。投入信任的流程,您可以构建可以检测到这种密码破解僵尸网络并让所有人阻止它们的基础结构。但这是您可以做的。

评论


有关更多信息,请阅读有关冰雹玛丽云的信息。

– JdeBP
17年11月28日在16:30

@JdeBP可以从此简短评论中做出答案吗?术语“冰雹玛丽云”的答案和给出的参考应该在这里。

– jk-恢复莫妮卡
17年11月30日在17:50

#5 楼

SASL PLAIN身份验证失败:

b3db68ad.virtua.com.br不能解析为地址179.219.104.173

,只要您未对任何内容启用PLAIN身份验证用户,您应该可以。此外,这:b3db68ad.virtua.com.br不能解析为179.219.104.173,这表明该域是虚假的域,因为它无法解析为所使用的IP。另一个失败。因此,它甚至可能根本就不是来自该域。
您可以花很多时间编写Postfix规则来禁止这种事情,但是最终花费的时间远远超过了系统的负载。

评论


更加安全的身份验证方法(散列+ -kerberos)只能保护密码不会在途中或日志中被窃听,这意味着它可以保护用户使用密码(可能通过集中登录)在其他系统上进行身份验证。所以他不会好起来的!不管密码测试的安全性如何,即使使用使用某种哈希+挑战方法(甚至不通过网络发送可重复使用的哈希)的Kerberos,暴力破解仍然有效。

– Tiberiu-Ionuț Stan
17年12月24日在22:30