View previous topic :: View next topic |
Author |
Message |
artemka Newbie
Joined: 27 Apr 2016 Posts: 4
|
Posted: 27 Apr 2016 13:53 (Wed) Post subject: Блокировка подбора паролей (POP3 / SMTP) версия 3.06 |
|
|
Добрый день, на почтовый сервер заходят брутфорсеры, и если опция "Сервисы - SMTP - Нарушения - Подсчитывать нарушения клиентов" работает и не позволяет быстро подбирать пароли к почтовым ящикам, то аналогичная опция по протоколу POP3 "Сервисы - POP3 - Нарушения - Подсчитывать нарушения клиентов" не блокирует переборщики, тем самым снижая безопасность. Как ограничить кол-во неправильных попыток по POP3 ?
Заранее спасибо! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 27 Apr 2016 14:49 (Wed) Post subject: |
|
|
Проверил: POP3-сервис успешно блокирует клиентов-нарушителей.
Если у вас не блокирует, напишите, как у вас настроена вкладка "Нарушения" в POP3-сервисе, и где вы видите, что нарушения происходят, но нарушители при этом не блокируются. |
|
Back to top |
|
|
artemka Newbie
Joined: 27 Apr 2016 Posts: 4
|
Posted: 27 Apr 2016 16:13 (Wed) Post subject: |
|
|
Спасибо за оперативный ответ!
Настройки следующие: Сервис - POP3:
Общее: Порт: 110; Тайм-аут: 600; Привязка к IP-адресу: пусто; Автоматический запуск.
Доступ: Все подключения: Разрешить; Подключение из IP-групп Запретить: не отмечен; Макс. число одновременных подключений С одного IP-адреса: 10; Требовать секретную аутентификацию: не отмечен.
Нарушения: Подсчитывать нарушения клиентов: Отмечен; Сброс счётчика, если нарушений нет: 60 мин; При числе нарушений: 3; запретить клиенту доступ на: 120 мин.
Список заблокированных IP всегда пуст
--
Настройки - Журнал - Уровень подробности: Отладочный.
В лог файле ищу текст "Authentication failed", а там с небольшим интервалом события вида:
=============
+26.04.2016 14:25:54 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:54 00YU Thread started (TCsPOP3Server)
<26.04.2016 14:25:54 00YU +OK mail.server.ru POP3 service ready <1076.73608051954278@mail.server.ru>
+26.04.2016 14:25:54 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:54 00YV Thread started (TCsPOP3Server)
<26.04.2016 14:25:54 00YV +OK mail.server.ru POP3 service ready <2184.73608051954467@mail.server.ru>
>26.04.2016 14:25:54 00YU USER www
<26.04.2016 14:25:54 00YU +OK Name accepted
>26.04.2016 14:25:54 00YV USER sales
<26.04.2016 14:25:54 00YV +OK Name accepted
>26.04.2016 14:25:54 00YU PASS ********
<26.04.2016 14:25:54 00YU -ERR Authentication failed
>26.04.2016 14:25:54 00YV PASS ********
~26.04.2016 14:25:54 00YV Access denied for POP3 client [103.231.125.244] for 30 min.
<26.04.2016 14:25:54 00YV -ERR Authentication failed
-26.04.2016 14:25:54 00YV Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:54 00YV Thread stopped (TCsPOP3Server)
>26.04.2016 14:25:54 00YU QUIT
<26.04.2016 14:25:54 00YU +OK Service closing transmission channel
-26.04.2016 14:25:54 00YU Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:54 00YU Thread stopped (TCsPOP3Server)
+26.04.2016 14:25:55 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:55 00YW Thread started (TCsPOP3Server)
<26.04.2016 14:25:55 00YW +OK mail.server.ru POP3 service ready <3024.73608051955342@mail.server.ru>
>26.04.2016 14:25:55 00YW USER sales
<26.04.2016 14:25:55 00YW +OK Name accepted
>26.04.2016 14:25:55 00YW PASS ********
<26.04.2016 14:25:55 00YW -ERR Authentication failed
-26.04.2016 14:25:55 00YW Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:55 00YW Thread stopped (TCsPOP3Server)
+26.04.2016 14:25:56 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:56 00YX Thread started (TCsPOP3Server)
<26.04.2016 14:25:56 00YX +OK mail.server.ru POP3 service ready <2368.73608051956260@mail.server.ru>
+26.04.2016 14:25:56 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:56 00YY Thread started (TCsPOP3Server)
<26.04.2016 14:25:56 00YY +OK mail.server.ru POP3 service ready <2120.73608051956276@mail.server.ru>
>26.04.2016 14:25:56 00YX USER sales
<26.04.2016 14:25:56 00YX +OK Name accepted
>26.04.2016 14:25:56 00YY USER www
<26.04.2016 14:25:56 00YY +OK Name accepted
>26.04.2016 14:25:56 00YX PASS ********
<26.04.2016 14:25:56 00YX -ERR Authentication failed
-26.04.2016 14:25:56 00YX Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:56 00YX Thread stopped (TCsPOP3Server)
>26.04.2016 14:25:56 00YY PASS ********
<26.04.2016 14:25:56 00YY -ERR Authentication failed
-26.04.2016 14:25:56 00YY Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:56 00YY Thread stopped (TCsPOP3Server)
+26.04.2016 14:25:57 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:57 00YZ Thread started (TCsPOP3Server)
<26.04.2016 14:25:57 00YZ +OK mail.server.ru POP3 service ready <1228.73608051957107@mail.server.ru>
+26.04.2016 14:25:57 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:57 00Z0 Thread started (TCsPOP3Server)
<26.04.2016 14:25:57 00Z0 +OK mail.server.ru POP3 service ready <2720.73608051957188@mail.server.ru>
>26.04.2016 14:25:57 00YZ USER sales
<26.04.2016 14:25:57 00YZ +OK Name accepted
+26.04.2016 14:25:57 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:57 00Z1 Thread started (TCsPOP3Server)
<26.04.2016 14:25:57 00Z1 +OK mail.server.ru POP3 service ready <1156.73608051957323@mail.server.ru>
>26.04.2016 14:25:57 00Z0 USER www
<26.04.2016 14:25:57 00Z0 +OK Name accepted
>26.04.2016 14:25:57 00YZ PASS ********
<26.04.2016 14:25:57 00YZ -ERR Too few arguments
>26.04.2016 14:25:57 00Z1 USER demo
<26.04.2016 14:25:57 00Z1 +OK Name accepted
>26.04.2016 14:25:57 00Z0 PASS ********
<26.04.2016 14:25:57 00Z0 -ERR Too few arguments
>26.04.2016 14:25:57 00YZ QUIT
<26.04.2016 14:25:57 00YZ +OK Service closing transmission channel
-26.04.2016 14:25:57 00YZ Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:57 00YZ Thread stopped (TCsPOP3Server)
>26.04.2016 14:25:57 00Z1 PASS ********
<26.04.2016 14:25:57 00Z1 -ERR Authentication failed
-26.04.2016 14:25:57 00Z1 Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:57 00Z1 Thread stopped (TCsPOP3Server)
>26.04.2016 14:25:57 00Z0 QUIT
<26.04.2016 14:25:57 00Z0 +OK Service closing transmission channel
-26.04.2016 14:25:57 00Z0 Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:57 00Z0 Thread stopped (TCsPOP3Server)
+26.04.2016 14:25:57 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:57 00Z2 Thread started (TCsPOP3Server)
<26.04.2016 14:25:57 00Z2 +OK mail.server.ru POP3 service ready <2092.73608051957955@mail.server.ru>
+26.04.2016 14:25:58 000M Подключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:58 00Z3 Thread started (TCsPOP3Server)
<26.04.2016 14:25:58 00Z3 +OK mail.server.ru POP3 service ready <1840.73608051958043@mail.server.ru>
>26.04.2016 14:25:58 00Z2 USER sales
<26.04.2016 14:25:58 00Z2 +OK Name accepted
>26.04.2016 14:25:58 00Z3 USER www
<26.04.2016 14:25:58 00Z3 +OK Name accepted
>26.04.2016 14:25:58 00Z2 PASS ********
<26.04.2016 14:25:58 00Z2 -ERR Authentication failed
-26.04.2016 14:25:58 00Z2 Отключился POP3-клиент [103.231.125.244]
~26.04.2016 14:25:58 00Z2 Thread stopped (TCsPOP3Server)
=============
Причем при подобных случаях в SMTP авторизации логе пишет что IP-адрес клиента заблокирован, и это отражено на вкладке сервиса.
Игрался со временем блокировки, сейчас заметил в логе строку "Access denied for POP3 client [103.231.125.244] for 30 min", но как видно POP3-сервис после этого продолжает принимать команды с этого IP.
Сервер работает исправно, адрес локальной подсети, с интернет шлюза проброшены порты 25,110 работы с внешними клиентами.
Спасибо за помощь! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 27 Apr 2016 18:42 (Wed) Post subject: |
|
|
Разобрался. Сама по себе блокировка нарушителей работает правильно, проблему создаёт вот эта доработка, сделанная в CMS 3.03 beta 1:
Code: | [*] Если при подключении клиента к сервису имеются установленные
подключения к этому же сервису с IP-адреса клиента и максимальное число
одновременных подключений не достигнуто, то данному клиенту разрешается
доступ к сервису без каких-либо дополнительных проверок. Тем самым
ускоряются параллельные подключения с одного IP-адреса. |
То есть если подключения с какого-то IP-адреса идут непрерывным потоком, так, что в любой момент времени установлено хотя бы одно подключение (как происходит в вашем случае), то новые подключения с этого же адреса будут приняты, даже если их уже надо отклонять.
Как только все подключения с этого IP-адреса будут завершены, последующие подключения будут отклоняться (если время блокировки нарушителя не истекло).
Спасибо вам за подробное описание проблемы.
В следующей версии обязательно исправим, то есть сделаем обязательной проверку на нарушения при подключении клиента.
Пока, чтобы обойти проблему, можете установить параметр "Макс. число одновременных подключений - С одного IP-адреса" в 1. Тогда подключения нарушителей будут блокироваться правильно. |
|
Back to top |
|
|
artemka Newbie
Joined: 27 Apr 2016 Posts: 4
|
Posted: 27 Apr 2016 19:38 (Wed) Post subject: |
|
|
Спасибо за помощь! И моментальное решение проблемы |
|
Back to top |
|
|
artemka Newbie
Joined: 27 Apr 2016 Posts: 4
|
Posted: 30 May 2016 10:52 (Mon) Post subject: |
|
|
Добрый день. Сегодня опять наблюдал брутфорс-перебор но уже по SMTP.
Параметры сервиса:
Доступ: Разрешить; С одного IP-адреса: 10;
Нарушения: Сброс счетчика, если нарушений нет: 90 мин; При числе нарушений: 3; Запретить клиенту доступ на: 180 мин;
В логе в интервале времени 15.46.40 - 15.49.14 около 110 неправильных авторизаций, потом стало блокировать. вот начало событий:
+29.05.2016 15:46:28 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:28 07J8 Thread started (TCsSMTPServer)
<29.05.2016 15:46:28 07J8 220 mail.server.ru ESMTP service ready
>29.05.2016 15:46:29 07J8 EHLO JELHC
<29.05.2016 15:46:29 07J8 250-mail.server.ru greets JELHC
<29.05.2016 15:46:29 07J8 250-SIZE
<29.05.2016 15:46:29 07J8 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:29 07J8 250 8BITMIME
>29.05.2016 15:46:32 07J8 QUIT
<29.05.2016 15:46:32 07J8 221 Service closing transmission channel
-29.05.2016 15:46:32 07J8 Отключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:32 07J8 Thread stopped (TCsSMTPServer)
+29.05.2016 15:46:36 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:36 07J9 Thread started (TCsSMTPServer)
<29.05.2016 15:46:36 07J9 220 mail.server.ru ESMTP service ready
+29.05.2016 15:46:37 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:37 07JA Thread started (TCsSMTPServer)
<29.05.2016 15:46:37 07JA 220 mail.server.ru ESMTP service ready
>29.05.2016 15:46:37 07J9 EHLO JELHC
<29.05.2016 15:46:37 07J9 250-mail.server.ru greets JELHC
<29.05.2016 15:46:37 07J9 250-SIZE
<29.05.2016 15:46:37 07J9 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:37 07J9 250 8BITMIME
>29.05.2016 15:46:38 07JA EHLO JELHC
<29.05.2016 15:46:38 07JA 250-mail.server.ru greets JELHC
<29.05.2016 15:46:38 07JA 250-SIZE
<29.05.2016 15:46:38 07JA 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:38 07JA 250 8BITMIME
+29.05.2016 15:46:38 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:38 07JB Thread started (TCsSMTPServer)
<29.05.2016 15:46:38 07JB 220 mail.server.ru ESMTP service ready
+29.05.2016 15:46:39 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:39 07JC Thread started (TCsSMTPServer)
<29.05.2016 15:46:39 07JC 220 mail.server.ru ESMTP service ready
>29.05.2016 15:46:39 07J9 AUTH LOGIN
<29.05.2016 15:46:39 07J9 334 VXNlcm5hbWU6
+29.05.2016 15:46:39 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:39 07JD Thread started (TCsSMTPServer)
<29.05.2016 15:46:39 07JD 220 mail.server.ru ESMTP service ready
>29.05.2016 15:46:39 07JB EHLO JELHC
<29.05.2016 15:46:39 07JB 250-mail.server.ru greets JELHC
<29.05.2016 15:46:39 07JB 250-SIZE
<29.05.2016 15:46:39 07JB 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:39 07JB 250 8BITMIME
>29.05.2016 15:46:39 07J9 YQ==
<29.05.2016 15:46:39 07J9 334 UGFzc3dvcmQ6
>29.05.2016 15:46:40 07JC EHLO JELHC
<29.05.2016 15:46:40 07JC 250-mail.server.ru greets JELHC
<29.05.2016 15:46:40 07JC 250-SIZE
<29.05.2016 15:46:40 07JC 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:40 07JC 250 8BITMIME
>29.05.2016 15:46:40 07JD EHLO JELHC
<29.05.2016 15:46:40 07JD 250-mail.server.ru greets JELHC
<29.05.2016 15:46:40 07JD 250-SIZE
<29.05.2016 15:46:40 07JD 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:40 07JD 250 8BITMIME
>29.05.2016 15:46:40 07JA AUTH LOGIN
<29.05.2016 15:46:40 07JA 334 VXNlcm5hbWU6
>29.05.2016 15:46:40 07J9
<29.05.2016 15:46:40 07J9 535 Authentication failed
>29.05.2016 15:46:40 07JA YQ==
<29.05.2016 15:46:40 07JA 334 UGFzc3dvcmQ6
+29.05.2016 15:46:40 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:40 07JE Thread started (TCsSMTPServer)
<29.05.2016 15:46:40 07JE 220 mail.server.ru ESMTP service ready
!29.05.2016 15:46:40 07J9 Удалённый хост отключился
-29.05.2016 15:46:40 07J9 Отключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:40 07J9 Thread stopped (TCsSMTPServer)
>29.05.2016 15:46:41 07JA YQ==
<29.05.2016 15:46:41 07JA 535 Authentication failed
>29.05.2016 15:46:41 07JB AUTH LOGIN
<29.05.2016 15:46:41 07JB 334 VXNlcm5hbWU6
>29.05.2016 15:46:41 07JE EHLO JELHC
<29.05.2016 15:46:41 07JE 250-mail.server.ru greets JELHC
<29.05.2016 15:46:41 07JE 250-SIZE
<29.05.2016 15:46:41 07JE 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:41 07JE 250 8BITMIME
+29.05.2016 15:46:41 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:41 07JF Thread started (TCsSMTPServer)
<29.05.2016 15:46:41 07JF 220 mail.server.ru ESMTP service ready
>29.05.2016 15:46:41 07JB YQ==
<29.05.2016 15:46:41 07JB 334 UGFzc3dvcmQ6
>29.05.2016 15:46:41 07JC AUTH LOGIN
<29.05.2016 15:46:41 07JC 334 VXNlcm5hbWU6
!29.05.2016 15:46:41 07JA Удалённый хост отключился
-29.05.2016 15:46:41 07JA Отключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:41 07JA Thread stopped (TCsSMTPServer)
>29.05.2016 15:46:41 07JD AUTH LOGIN
<29.05.2016 15:46:41 07JD 334 VXNlcm5hbWU6
>29.05.2016 15:46:42 07JC YQ==
<29.05.2016 15:46:42 07JC 334 UGFzc3dvcmQ6
>29.05.2016 15:46:42 07JB YWE=
~29.05.2016 15:46:42 07JB Access denied for SMTP client [68.115.162.74] for 180 min.
<29.05.2016 15:46:42 07JB 535 Authentication failed
-29.05.2016 15:46:42 07JB Отключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:42 07JB Thread stopped (TCsSMTPServer)
>29.05.2016 15:46:42 07JD YQ==
<29.05.2016 15:46:42 07JD 334 UGFzc3dvcmQ6
>29.05.2016 15:46:42 07JF EHLO JELHC
<29.05.2016 15:46:42 07JF 250-mail.server.ru greets JELHC
<29.05.2016 15:46:42 07JF 250-SIZE
<29.05.2016 15:46:42 07JF 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:42 07JF 250 8BITMIME
>29.05.2016 15:46:42 07JC YTE=
<29.05.2016 15:46:42 07JC 535 Authentication failed
-29.05.2016 15:46:42 07JC Отключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:42 07JC Thread stopped (TCsSMTPServer)
+29.05.2016 15:46:42 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:42 07JG Thread started (TCsSMTPServer)
<29.05.2016 15:46:42 07JG 220 mail.server.ru ESMTP service ready
>29.05.2016 15:46:42 07JD YTEy
<29.05.2016 15:46:42 07JD 535 Authentication failed
-29.05.2016 15:46:42 07JD Отключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:42 07JD Thread stopped (TCsSMTPServer)
>29.05.2016 15:46:43 07JE AUTH LOGIN
<29.05.2016 15:46:43 07JE 334 VXNlcm5hbWU6
>29.05.2016 15:46:43 07JG EHLO JELHC
<29.05.2016 15:46:43 07JG 250-mail.server.ru greets JELHC
<29.05.2016 15:46:43 07JG 250-SIZE
<29.05.2016 15:46:43 07JG 250-AUTH PLAIN LOGIN CRAM-MD5
<29.05.2016 15:46:43 07JG 250 8BITMIME
>29.05.2016 15:46:43 07JE YQ==
<29.05.2016 15:46:43 07JE 334 UGFzc3dvcmQ6
>29.05.2016 15:46:43 07JF AUTH LOGIN
<29.05.2016 15:46:43 07JF 334 VXNlcm5hbWU6
>29.05.2016 15:46:44 07JE YTEyMw==
<29.05.2016 15:46:44 07JE 535 Authentication failed
-29.05.2016 15:46:44 07JE Отключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:44 07JE Thread stopped (TCsSMTPServer)
>29.05.2016 15:46:44 07JF YQ==
<29.05.2016 15:46:44 07JF 334 UGFzc3dvcmQ6
+29.05.2016 15:46:44 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:44 07JH Thread started (TCsSMTPServer)
<29.05.2016 15:46:44 07JH 220 mail.server.ru ESMTP service ready
+29.05.2016 15:46:44 0001 Подключился SMTP-клиент [68.115.162.74]
~29.05.2016 15:46:44 07JI Thread started (TCsSMTPServer)
<29.05.2016 15:46:44 07JI 220 mail.server.ru ESMTP service ready
>29.05.2016 15:46:44 07JF YTEyMzQ=
<29.05.2016 15:46:44 07JF 535 Authentication failed
-29.05.2016 15:46:44 07JF Отключился SMTP-клиент [68.115.162.74] |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 30 May 2016 12:10 (Mon) Post subject: |
|
|
Проблема с блокировкой нарушителей, про которую я написал в предыдущем сообщении, относится ко всем сервисам.
То есть пока для надёжного блокирования нужно в сервисах установить параметр "Макс. число одновременных подключений - С одного IP-адреса" в 1.
В вашем случае после 110 авторизаций в какой-то момент все подключения клиента к CMS завершились, после чего следующее его подключение было единственным на тот момент и CMS отклонил это подключение и, аналогично, все последующие. |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 11 Aug 2016 12:34 (Thu) Post subject: |
|
|
NAMOR wrote: | То есть если подключения с какого-то IP-адреса идут непрерывным потоком, так, что в любой момент времени установлено хотя бы одно подключение (как происходит в вашем случае), то новые подключения с этого же адреса будут приняты, даже если их уже надо отклонять. |
Исправили в CMS 3.07 beta 1:
Code: | [-] Пока было установлено хотя бы одно подключение к сервису с некоторого
IP-адреса, для всех последующих подключений с этого же IP-адреса
не выполнялась проверка на нарушения. |
|
|
Back to top |
|
|
|