Courier Mail Server Forum Index Courier Mail Server
www.courierms.ru
 
 FAQFAQ   SearchSearch   MemberlistMemberlist   UsergroupsUsergroups   RegisterRegister 
 ProfileProfile   Log in to check your private messagesLog in to check your private messages   Log inLog in 

Предложение по безопасности.
Goto page 1, 2  Next
 
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 2.xx
View previous topic :: View next topic  
Author Message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 25 Oct 2012 15:18 (Thu)    Post subject: Предложение по безопасности. Reply with quote

доступ к серверу по POP3 открыт для внешних IP, чтобы обеспечить доступ к нему по веб-интерфейсу. Недавно обнаружил в логах такое вот безобразие:

===[CMSLog cut]===============8<----------------------------------------------
+25.10.2012 13:20:41 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:41 2441 Thread started (TCsPOP3Server)
<25.10.2012 13:20:41 2441 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <9276.73480148041365@mx.teplo-kolomna.ru>
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2442 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2442 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <8476.73480148042193@mx.teplo-kolomna.ru>
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2443 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2443 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <8700.73480148042256@mx.teplo-kolomna.ru>
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2444 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2444 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <5476.73480148042302@mx.teplo-kolomna.ru>
>25.10.2012 13:20:42 2442 USER root
<25.10.2012 13:20:42 2442 +OK Name accepted
>25.10.2012 13:20:42 2443 USER admin
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
>25.10.2012 13:20:42 2444 USER webmaster
<25.10.2012 13:20:42 2443 +OK Name accepted
<25.10.2012 13:20:42 2444 +OK Name accepted
~25.10.2012 13:20:42 2445 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2445 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <10104.73480148042552@mx.teplo-kolomna.ru>
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
>25.10.2012 13:20:42 2442 PASS ********
~25.10.2012 13:20:42 2446 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2442 -ERR Access denied
-25.10.2012 13:20:42 2442 Отключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2442 Thread stopped (TCsPOP3Server)
<25.10.2012 13:20:42 2446 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <8480.73480148042677@mx.teplo-kolomna.ru>
>25.10.2012 13:20:42 2444 PASS ********
>25.10.2012 13:20:42 2443 PASS ********
>25.10.2012 13:20:42 2445 USER user
<25.10.2012 13:20:42 2445 +OK Name accepted
<25.10.2012 13:20:42 2444 -ERR Access denied
-25.10.2012 13:20:42 2444 Отключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2444 Thread stopped (TCsPOP3Server)
<25.10.2012 13:20:42 2443 -ERR Access denied
-25.10.2012 13:20:42 2443 Отключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2443 Thread stopped (TCsPOP3Server)
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2447 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2447 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <7908.73480148042927@mx.teplo-kolomna.ru>
>25.10.2012 13:20:42 2446 USER test
<25.10.2012 13:20:42 2446 +OK Name accepted
+25.10.2012 13:20:43 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:43 2448 Thread started (TCsPOP3Server)
<25.10.2012 13:20:43 2448 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <10132.73480148043037@mx.teplo-kolomna.ru>
>25.10.2012 13:20:43 2445 PASS ********
<25.10.2012 13:20:43 2445 +OK 6 messages (17697 bytes) in mailbox
>25.10.2012 13:20:43 2447 USER web
<25.10.2012 13:20:43 2447 +OK Name accepted
>25.10.2012 13:20:43 2446 PASS ********
<25.10.2012 13:20:43 2446 +OK 0 messages (0 bytes) in mailbox
+25.10.2012 13:20:43 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:43 2449 Thread started (TCsPOP3Server)
<25.10.2012 13:20:43 2449 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <9980.73480148043224@mx.teplo-kolomna.ru>
>25.10.2012 13:20:43 2448 USER www
<25.10.2012 13:20:43 2448 +OK Name accepted
>25.10.2012 13:20:43 2445 QUIT
<25.10.2012 13:20:43 2445 +OK Service closing transmission channel (6 messages left)
-25.10.2012 13:20:43 2445 Отключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:43 2445 Thread stopped (TCsPOP3Server)
------------------------------>8===============================[CMSLog cut]===

И т.д. И так несколько раз в день с разных IP.

Явная попытка получить доступ подбором логина/пароля.

В связи с этим хотелось бы иметь такую фичу:

1. Попытки неудачного залогинивания с каждого IP фиксируются.
2. При превышении заданного числа неудачных попыток в течение определенного времени происходит блокирование данного IP на указанный срок.
3. Возможно должны применяться не общие настройки, а по группам IP. Так, например, для локальных адресов одни настройки, для всех прочих - другие.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 25 Oct 2012 17:28 (Thu)    Post subject: Reply with quote

Сделаем, когда будем заниматься доработкой сервисов.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 16 Nov 2012 13:30 (Fri)    Post subject: Reply with quote

А сервачок все же сломали - подобрали логин/пароль. И сделали через него релей, т.к. слали почту от имени пользователей домена, которым пересылка вовне разрешена.

Пришлось менять пароли на более вычурные.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
tgod
Newbie
Newbie


Joined: 22 Nov 2012
Posts: 1

PostPosted: 22 Nov 2012 23:35 (Thu)    Post subject: Reply with quote

Наверное знали, вряд ли сломали. )
e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43
e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43
e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43
e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43
e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43
e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43e43
e43e43e43e43e43e43e43e43e43e43e43e43e43
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфо


Last edited by tgod on 18 Sep 2018 9:28 (Tue); edited 7 times in total
Back to top
View user's profile Send private message
Revelator
Subscriber
Subscriber


Joined: 11 Feb 2012
Posts: 11

PostPosted: 23 Nov 2012 9:24 (Fri)    Post subject: Reply with quote

Мне разок тоже пароль подобрали.
Хотя пароль был не хитрый но всёже ИМХО дело случая.
25 тыс сообщений спама за сутки, блокировка хостинга и длительные объяснения с шефом и тех. поддержкой хостинга.
Теперь все пароли рандомные (в ручную) от 10 знаков с цифрами и буквами в разном регистре. И так на всём!
Back to top
View user's profile Send private message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 24 Nov 2012 17:33 (Sat)    Post subject: Reply with quote

tgod wrote:
Наверное знали, вряд ли сломали. )

Говорю же: Были обнаружены попытки подбора пароля к разным случайным логинам - см. старттопик. После чего наш IP стал регулярно попадать в черные списки спамхауза. После смены пароля это безобразие прекратилось.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 30 Sep 2013 17:47 (Mon)    Post subject: Reply with quote

Сегодня после отпуска проверял работу серверов и обнаружил, что ровно 2 недели назад опять были попытки подбора пароля - по несколько сотен за минуту. Примерно за 25-минутную атаку размер лога превысил обычный суточный в несколько раз.

Это сколько же ресурсов сервера тратится на такие коннекты?

Поэтому снова обращаю внимание на желательность временной блокировки IP, с которого делается несколько неудачных попыток логина подряд.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 30 Sep 2013 17:53 (Mon)    Post subject: Reply with quote

GrAnd wrote:
опять были попытки подбора пароля

А к какому сервису CMS при этом подключались?

GrAnd wrote:
Поэтому снова обращаю внимание на желательность временной блокировки IP, с которого делается несколько неудачных попыток логина подряд.

Проблему понимаем. Постараемся сделать.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 30 Sep 2013 18:01 (Mon)    Post subject: Reply with quote

NAMOR wrote:
А к какому сервису CMS при этом подключались?
Проблему понимаем. Постараемся сделать.

Опять к POP3. У меня к SMTP снаружи подключения нет - только из локалки. А вот снимать свою почту из дома некоторые могут.

Спасибо.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 03 Oct 2013 11:06 (Thu)    Post subject: Reply with quote

Попытки взлома сервера продолжаются. Сегодня ночью были предприняты 2 серии попыток. Правда, не такие массированные, как в прошлый раз - одна в течение минуты, вторая - чуть дольше. Засек тоже по увеличившемуся размеру лога.

UPD: И еще 28 сентября была 25-минутная серия попыток. Но это была суббота, поэтому сам размер лога был не слишкой большой - сразу внимания не обратил.

UPD2: И еще одна полминутная серия в тот же день.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 03 Oct 2013 11:59 (Thu)    Post subject: Reply with quote

У-у-у ... начал внимательно просматривать логи, так, оказывается, там каждые выходные по несколько атак. И не только в выходные тоже.

Думал ограничить число одновременных подключений с одного IP, так большинство атакующих многопоточность не используют - только одно подключение активно в каждый момент времени. От них это не спасет, хотя другим жизнь усложнит.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 03 Oct 2013 12:10 (Thu)    Post subject: Reply with quote

Как вариант — ограничить доступ к POP3-сервису только локальной сетью и подсетями, из которых подключаются ваши сотрудники дома.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 03 Oct 2013 12:41 (Thu)    Post subject: Reply with quote

NAMOR wrote:
Как вариант — ограничить доступ к POP3-сервису только локальной сетью и подсетями, из которых подключаются ваши сотрудники дома.

Увы ... Некоторые снимают почту на планшеты и мобильники по публичным W-Fi или GPRS/3G. Где это они надумают сделать, какой адрес у них будет тогда - одному Оггу известно.

Кстати ... Кроме ограничения числа неудачных логонов предлагаю сделать флуд-контроль: если за минуту число подключений с одного IP превышает граничное значение, то этот IP временно блокируется на какое-то время.

Думаю, это будет сделать даже несколько проще, чем засекать неудачные логоны. И, может быть, этого будет и достаточно.

Только нужно будет иметь кроме общих настроек флуд-контроля еще и свои приоритетные для каждой группы. Так же для каждой группы свои настройки числа одновременных подключений: например, я хочу ограничить число одновременных подключений для локалки и для внешних клиентов по разному.

И еще, необходимо будет иметь возможность ручного удаления IP из блоклиста.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
NAMOR
CMS Developer


Joined: 15 Oct 2005
Posts: 1079

PostPosted: 03 Oct 2013 12:53 (Thu)    Post subject: Reply with quote

Учтём эти предложения.
Back to top
View user's profile Send private message Send e-mail Visit poster's website
GrAnd
CMS Master
CMS Master


Joined: 21 Oct 2005
Posts: 766
Location: г. Коломна

PostPosted: 06 Oct 2013 19:34 (Sun)    Post subject: Reply with quote

По SMTP сегодня ночью тоже пытались взломать:

Code:
===[CMSLog cut]===============8<----------------------------------------------
+06.10.2013 00:13:32 0001 Подключился SMTP-клиент [59.181.126.229]
<06.10.2013 00:13:32 04M0 220 [192.168.0.114] Courier Mail Server 3.02 ESMTP service ready
>06.10.2013 00:13:33 04M0 EHLO windows
<06.10.2013 00:13:33 04M0 250-[192.168.0.114] greets windows
<06.10.2013 00:13:33 04M0 250-SIZE
<06.10.2013 00:13:33 04M0 250-AUTH PLAIN LOGIN CRAM-MD5
<06.10.2013 00:13:33 04M0 250 8BITMIME
>06.10.2013 00:13:34 04M0 AUTH LOGIN
<06.10.2013 00:13:34 04M0 334 VXNlcm5hbWU6
>06.10.2013 00:13:35 04M0 YWRtaW5pc3RyYXRvcg==
<06.10.2013 00:13:35 04M0 334 UGFzc3dvcmQ6
>06.10.2013 00:13:35 04M0 YWRtaW5pc3RyYXRvcg==
<06.10.2013 00:13:35 04M0 535 Authentication failed
>06.10.2013 00:13:36 04M0 QUIT
<06.10.2013 00:13:36 04M0 221 Service closing transmission channel
-06.10.2013 00:13:36 04M0 Отключился SMTP-клиент [59.181.126.229]
------------------------------>8===============================[CMSLog cut]===


Правда, это на самом деле проблематично. У меня на внешку по SMTP работает другой сервер: занимается фильтрацией спама в т.ч. по PTR и пересылает то, что осталось, на внутренний почтовый сервер. И на этом промежуточном SMTP-сервере только один пользователь-администратор с достаточно хитрым паролем. Но дело в том, что таких попыток производилось по несколько десятков в секунду. Одновременно было установлено около полутора сотен соединений. Неуютненько как-то ...

Пришлось по SMTP тоже ставить ограничение на 1 подключение с одного IP одновременно. А это как-то уже неаккуратненько. Но что делать?

Так что, по SMTP флуд-контроль и подсчет числа неудачных аутентификаций тоже желательно прикрутить.

_________________
Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец!
Back to top
View user's profile Send private message
Display posts from previous:   
Post new topic   Reply to topic    Courier Mail Server Forum Index -> Courier Mail Server 2.xx All times are GMT + 4 Hours
Goto page 1, 2  Next
Page 1 of 2

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum


Powered by phpBB © 2001, 2005 phpBB Group