Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Napadení postfixu [vyřešeno]  (Přečteno 3674 krát)

mr.p

  • Návštěvník
  • Příspěvků: 89
Napadení postfixu [vyřešeno]
« kdy: 24 Června 2014, 06:45:29 »
Dobrý den,

Toto jsem objevil logu postfixu, co to pro me znamena? Nekdo se podle toho co vidim snazil propojit do postfixu. Je toho nekolikset radku. Je to nejaka forma utoku?

Kód: [Vybrat]
Jun 23 19:30:50 vm11268 postfix/smtpd[12960]: connect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:50 vm11268 postfix/smtpd[12960]: warning: 46-198-139-208.static.cyta.gr[46.198.139.208]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 19:30:50 vm11268 postfix/smtpd[12960]: lost connection after AUTH from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:50 vm11268 postfix/smtpd[12960]: disconnect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:50 vm11268 postfix/smtpd[12960]: connect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:51 vm11268 postfix/smtpd[12960]: warning: 46-198-139-208.static.cyta.gr[46.198.139.208]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 19:30:51 vm11268 postfix/smtpd[12960]: lost connection after AUTH from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:51 vm11268 postfix/smtpd[12960]: disconnect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:51 vm11268 postfix/smtpd[12960]: connect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:51 vm11268 postfix/smtpd[12960]: warning: 46-198-139-208.static.cyta.gr[46.198.139.208]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 19:30:51 vm11268 postfix/smtpd[12960]: lost connection after AUTH from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:51 vm11268 postfix/smtpd[12960]: disconnect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:51 vm11268 postfix/smtpd[12960]: connect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:52 vm11268 postfix/smtpd[12960]: warning: 46-198-139-208.static.cyta.gr[46.198.139.208]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 19:30:52 vm11268 postfix/smtpd[12960]: lost connection after AUTH from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:52 vm11268 postfix/smtpd[12960]: disconnect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:52 vm11268 postfix/smtpd[12960]: connect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:52 vm11268 postfix/smtpd[12960]: warning: 46-198-139-208.static.cyta.gr[46.198.139.208]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 19:30:52 vm11268 postfix/smtpd[12960]: lost connection after AUTH from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:52 vm11268 postfix/smtpd[12960]: disconnect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:53 vm11268 postfix/smtpd[12960]: connect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:53 vm11268 postfix/smtpd[12960]: warning: 46-198-139-208.static.cyta.gr[46.198.139.208]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 19:30:53 vm11268 postfix/smtpd[12960]: lost connection after AUTH from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:53 vm11268 postfix/smtpd[12960]: disconnect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:53 vm11268 postfix/smtpd[12960]: connect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:53 vm11268 postfix/smtpd[12960]: warning: 46-198-139-208.static.cyta.gr[46.198.139.208]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 19:30:53 vm11268 postfix/smtpd[12960]: lost connection after AUTH from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:53 vm11268 postfix/smtpd[12960]: disconnect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:54 vm11268 postfix/smtpd[12960]: connect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:54 vm11268 postfix/smtpd[12960]: warning: 46-198-139-208.static.cyta.gr[46.198.139.208]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 19:30:54 vm11268 postfix/smtpd[12960]: lost connection after AUTH from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:30:54 vm11268 postfix/smtpd[12960]: disconnect from 46-198-139-208.static.cyta.gr[46.198.139.208]
Jun 23 19:34:14 vm11268 postfix/anvil[12713]: statistics: max connection rate 115/60s for (smtp:46.198.139.208) at Jun 23 19:25:56
Jun 23 19:34:14 vm11268 postfix/anvil[12713]: statistics: max connection count 1 for (smtp:46.198.139.208) at Jun 23 19:25:50
Jun 23 21:50:27 vm11268 postfix/smtpd[13060]: connect from mail.fabrikam.sfone.net[131.107.4.63]
Jun 23 21:50:27 vm11268 postfix/smtpd[13060]: warning: mail.fabrikam.sfone.net[131.107.4.63]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 23 21:50:27 vm11268 postfix/smtpd[13060]: lost connection after AUTH from mail.fabrikam.sfone.net[131.107.4.63]
Jun 23 21:50:27 vm11268 postfix/smtpd[13060]: disconnect from mail.fabrikam.sfone.net[131.107.4.63]
Jun 23 21:53:48 vm11268 postfix/anvil[13062]: statistics: max connection rate 1/60s for (smtp:131.107.4.63) at Jun 23 21:50:27
Jun 23 21:53:48 vm11268 postfix/anvil[13062]: statistics: max connection count 1 for (smtp:131.107.4.63) at Jun 23 21:50:27
Jun 23 21:53:48 vm11268 postfix/anvil[13062]: statistics: max cache size 1 at Jun 23 21:50:27
Jun 24 01:43:02 vm11268 postfix/smtpd[13454]: connect from unknown[82.221.106.233]
Jun 24 01:43:02 vm11268 postfix/smtpd[13454]: warning: unknown[82.221.106.233]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jun 24 01:43:02 vm11268 postfix/smtpd[13454]: lost connection after RSET from unknown[82.221.106.233]
Jun 24 01:43:02 vm11268 postfix/smtpd[13454]: disconnect from unknown[82.221.106.233]
Jun 24 01:46:23 vm11268 postfix/anvil[13456]: statistics: max connection rate 1/60s for (smtp:82.221.106.233) at Jun 24 01:43:02
Jun 24 01:46:23 vm11268 postfix/anvil[13456]: statistics: max connection count 1 for (smtp:82.221.106.233) at Jun 24 01:43:02
Jun 24 01:46:23 vm11268 postfix/anvil[13456]: statistics: max cache size 1 at Jun 24 01:43:02
« Poslední změna: 24 Června 2014, 23:11:24 od mr.p »

jmp

  • Host
Re:Napadení postfixu
« Odpověď #1 kdy: 24 Června 2014, 07:20:26 »
hádání hesel

pokud nejsou dost silná a nedochází k locknutí účtu po X chybných pokusech za Y minut na Z minut, tak třeba někdy něco povolí
dopady budou v rovině oprávnění, které se povede získat (např. skrze vás budou valit tuny spamu)

vedlejší efekty pro uživatele, u kterých hesla hádají (pokud aplikujete zamykání účtů jako ochranu proti brute force prolamování hesel), tak to bude něco jako DoS

když nad tím zapřemýšlíte, jak to máte skutečně řešené, tak vás třeba napadne ještě něco zajímavějšího...  ;D

mr.p

  • Návštěvník
  • Příspěvků: 89
Re:Napadení postfixu
« Odpověď #2 kdy: 24 Června 2014, 11:56:18 »
Ok diky za rychlou odpoved.

Kdyby se dostal do uctu, tak by asi bylo poznat v logu, ze jsou ty maily posilany, ze?

Nevim jestli tahle hlaska souvisi s tim utokem, ale prestali se nam dorucovat maily  z nasi domeny par hodin po tom, co jsem obevil ten utok.

Kód: [Vybrat]
Delivery to the following recipient failed permanently:

     uzivatel@seznam.cz

Technical details of permanent failure:
Google tried to deliver your message, but it was rejected by the server for the recipient domain seznam.cz by mx1.seznam.cz. [77.75.72.42].

The error that the other server returned was:
550 5.7.1 Sender Policy Framework of `example.cz' domain denied your IP address.

Standa99

  • Host
Re:Napadení postfixu
« Odpověď #3 kdy: 24 Června 2014, 12:06:57 »
Tak zkontroluj, jestli nejste na blacklistu.
http://www.spamcop.net/bl.shtml
http://mxtoolbox.com/blacklists.aspx

mr.p

  • Návštěvník
  • Příspěvků: 89
Re:Napadení postfixu
« Odpověď #4 kdy: 24 Června 2014, 12:32:43 »
Tady je vse v poradku, je mozne, ze seznam.cz a centrum.cz maji vlastni blacklist?

jmp

  • Host
Re:Napadení postfixu
« Odpověď #5 kdy: 24 Června 2014, 12:34:39 »
zde jde o SPF (textový záznam v dns, který určuje, kdo je za doménu oprávněn odesílat maily a kdo ne)

mr.p

  • Návštěvník
  • Příspěvků: 89
Re:Napadení postfixu
« Odpověď #6 kdy: 24 Června 2014, 23:04:29 »
Ten SPF zaznam jsem na te domene mel zbytecne, jelikoz jsem si neuvedomil, ze maily jsou z te domeny posilany pres gmail.

Diky za pomoc :)

 

Provoz zaštiťuje spolek OpenAlt.