View previous topic :: View next topic |
Author |
Message |
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 25 Oct 2012 15:18 (Thu) Post subject: Предложение по безопасности. |
|
|
доступ к серверу по POP3 открыт для внешних IP, чтобы обеспечить доступ к нему по веб-интерфейсу. Недавно обнаружил в логах такое вот безобразие:
===[CMSLog cut]===============8<----------------------------------------------
+25.10.2012 13:20:41 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:41 2441 Thread started (TCsPOP3Server)
<25.10.2012 13:20:41 2441 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <9276.73480148041365@mx.teplo-kolomna.ru>
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2442 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2442 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <8476.73480148042193@mx.teplo-kolomna.ru>
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2443 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2443 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <8700.73480148042256@mx.teplo-kolomna.ru>
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2444 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2444 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <5476.73480148042302@mx.teplo-kolomna.ru>
>25.10.2012 13:20:42 2442 USER root
<25.10.2012 13:20:42 2442 +OK Name accepted
>25.10.2012 13:20:42 2443 USER admin
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
>25.10.2012 13:20:42 2444 USER webmaster
<25.10.2012 13:20:42 2443 +OK Name accepted
<25.10.2012 13:20:42 2444 +OK Name accepted
~25.10.2012 13:20:42 2445 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2445 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <10104.73480148042552@mx.teplo-kolomna.ru>
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
>25.10.2012 13:20:42 2442 PASS ********
~25.10.2012 13:20:42 2446 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2442 -ERR Access denied
-25.10.2012 13:20:42 2442 Отключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2442 Thread stopped (TCsPOP3Server)
<25.10.2012 13:20:42 2446 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <8480.73480148042677@mx.teplo-kolomna.ru>
>25.10.2012 13:20:42 2444 PASS ********
>25.10.2012 13:20:42 2443 PASS ********
>25.10.2012 13:20:42 2445 USER user
<25.10.2012 13:20:42 2445 +OK Name accepted
<25.10.2012 13:20:42 2444 -ERR Access denied
-25.10.2012 13:20:42 2444 Отключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2444 Thread stopped (TCsPOP3Server)
<25.10.2012 13:20:42 2443 -ERR Access denied
-25.10.2012 13:20:42 2443 Отключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2443 Thread stopped (TCsPOP3Server)
+25.10.2012 13:20:42 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:42 2447 Thread started (TCsPOP3Server)
<25.10.2012 13:20:42 2447 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <7908.73480148042927@mx.teplo-kolomna.ru>
>25.10.2012 13:20:42 2446 USER test
<25.10.2012 13:20:42 2446 +OK Name accepted
+25.10.2012 13:20:43 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:43 2448 Thread started (TCsPOP3Server)
<25.10.2012 13:20:43 2448 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <10132.73480148043037@mx.teplo-kolomna.ru>
>25.10.2012 13:20:43 2445 PASS ********
<25.10.2012 13:20:43 2445 +OK 6 messages (17697 bytes) in mailbox
>25.10.2012 13:20:43 2447 USER web
<25.10.2012 13:20:43 2447 +OK Name accepted
>25.10.2012 13:20:43 2446 PASS ********
<25.10.2012 13:20:43 2446 +OK 0 messages (0 bytes) in mailbox
+25.10.2012 13:20:43 0002 Подключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:43 2449 Thread started (TCsPOP3Server)
<25.10.2012 13:20:43 2449 +OK mx.teplo-kolomna.ru Courier Mail Server 2.10 POP3 service ready <9980.73480148043224@mx.teplo-kolomna.ru>
>25.10.2012 13:20:43 2448 USER www
<25.10.2012 13:20:43 2448 +OK Name accepted
>25.10.2012 13:20:43 2445 QUIT
<25.10.2012 13:20:43 2445 +OK Service closing transmission channel (6 messages left)
-25.10.2012 13:20:43 2445 Отключился POP3-клиент [41.82.169.73]
~25.10.2012 13:20:43 2445 Thread stopped (TCsPOP3Server)
------------------------------>8===============================[CMSLog cut]===
И т.д. И так несколько раз в день с разных IP.
Явная попытка получить доступ подбором логина/пароля.
В связи с этим хотелось бы иметь такую фичу:
1. Попытки неудачного залогинивания с каждого IP фиксируются.
2. При превышении заданного числа неудачных попыток в течение определенного времени происходит блокирование данного IP на указанный срок.
3. Возможно должны применяться не общие настройки, а по группам IP. Так, например, для локальных адресов одни настройки, для всех прочих - другие. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 25 Oct 2012 17:28 (Thu) Post subject: |
|
|
Сделаем, когда будем заниматься доработкой сервисов. |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 16 Nov 2012 13:30 (Fri) Post subject: |
|
|
А сервачок все же сломали - подобрали логин/пароль. И сделали через него релей, т.к. слали почту от имени пользователей домена, которым пересылка вовне разрешена.
Пришлось менять пароли на более вычурные. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
tgod Newbie
Joined: 22 Nov 2012 Posts: 1
|
|
Back to top |
|
|
Revelator Subscriber
Joined: 11 Feb 2012 Posts: 11
|
Posted: 23 Nov 2012 9:24 (Fri) Post subject: |
|
|
Мне разок тоже пароль подобрали.
Хотя пароль был не хитрый но всёже ИМХО дело случая.
25 тыс сообщений спама за сутки, блокировка хостинга и длительные объяснения с шефом и тех. поддержкой хостинга.
Теперь все пароли рандомные (в ручную) от 10 знаков с цифрами и буквами в разном регистре. И так на всём! |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 24 Nov 2012 17:33 (Sat) Post subject: |
|
|
tgod wrote: | Наверное знали, вряд ли сломали. ) |
Говорю же: Были обнаружены попытки подбора пароля к разным случайным логинам - см. старттопик. После чего наш IP стал регулярно попадать в черные списки спамхауза. После смены пароля это безобразие прекратилось. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 30 Sep 2013 17:47 (Mon) Post subject: |
|
|
Сегодня после отпуска проверял работу серверов и обнаружил, что ровно 2 недели назад опять были попытки подбора пароля - по несколько сотен за минуту. Примерно за 25-минутную атаку размер лога превысил обычный суточный в несколько раз.
Это сколько же ресурсов сервера тратится на такие коннекты?
Поэтому снова обращаю внимание на желательность временной блокировки IP, с которого делается несколько неудачных попыток логина подряд. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 30 Sep 2013 17:53 (Mon) Post subject: |
|
|
GrAnd wrote: | опять были попытки подбора пароля |
А к какому сервису CMS при этом подключались?
GrAnd wrote: | Поэтому снова обращаю внимание на желательность временной блокировки IP, с которого делается несколько неудачных попыток логина подряд. |
Проблему понимаем. Постараемся сделать. |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 30 Sep 2013 18:01 (Mon) Post subject: |
|
|
NAMOR wrote: | А к какому сервису CMS при этом подключались?
Проблему понимаем. Постараемся сделать. |
Опять к POP3. У меня к SMTP снаружи подключения нет - только из локалки. А вот снимать свою почту из дома некоторые могут.
Спасибо. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 03 Oct 2013 11:06 (Thu) Post subject: |
|
|
Попытки взлома сервера продолжаются. Сегодня ночью были предприняты 2 серии попыток. Правда, не такие массированные, как в прошлый раз - одна в течение минуты, вторая - чуть дольше. Засек тоже по увеличившемуся размеру лога.
UPD: И еще 28 сентября была 25-минутная серия попыток. Но это была суббота, поэтому сам размер лога был не слишкой большой - сразу внимания не обратил.
UPD2: И еще одна полминутная серия в тот же день. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 03 Oct 2013 11:59 (Thu) Post subject: |
|
|
У-у-у ... начал внимательно просматривать логи, так, оказывается, там каждые выходные по несколько атак. И не только в выходные тоже.
Думал ограничить число одновременных подключений с одного IP, так большинство атакующих многопоточность не используют - только одно подключение активно в каждый момент времени. От них это не спасет, хотя другим жизнь усложнит. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 03 Oct 2013 12:10 (Thu) Post subject: |
|
|
Как вариант — ограничить доступ к POP3-сервису только локальной сетью и подсетями, из которых подключаются ваши сотрудники дома. |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 03 Oct 2013 12:41 (Thu) Post subject: |
|
|
NAMOR wrote: | Как вариант — ограничить доступ к POP3-сервису только локальной сетью и подсетями, из которых подключаются ваши сотрудники дома. |
Увы ... Некоторые снимают почту на планшеты и мобильники по публичным W-Fi или GPRS/3G. Где это они надумают сделать, какой адрес у них будет тогда - одному Оггу известно.
Кстати ... Кроме ограничения числа неудачных логонов предлагаю сделать флуд-контроль: если за минуту число подключений с одного IP превышает граничное значение, то этот IP временно блокируется на какое-то время.
Думаю, это будет сделать даже несколько проще, чем засекать неудачные логоны. И, может быть, этого будет и достаточно.
Только нужно будет иметь кроме общих настроек флуд-контроля еще и свои приоритетные для каждой группы. Так же для каждой группы свои настройки числа одновременных подключений: например, я хочу ограничить число одновременных подключений для локалки и для внешних клиентов по разному.
И еще, необходимо будет иметь возможность ручного удаления IP из блоклиста. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
NAMOR CMS Developer
Joined: 15 Oct 2005 Posts: 1079
|
Posted: 03 Oct 2013 12:53 (Thu) Post subject: |
|
|
Учтём эти предложения. |
|
Back to top |
|
|
GrAnd CMS Master
Joined: 21 Oct 2005 Posts: 766 Location: г. Коломна
|
Posted: 06 Oct 2013 19:34 (Sun) Post subject: |
|
|
По SMTP сегодня ночью тоже пытались взломать:
Code: | ===[CMSLog cut]===============8<----------------------------------------------
+06.10.2013 00:13:32 0001 Подключился SMTP-клиент [59.181.126.229]
<06.10.2013 00:13:32 04M0 220 [192.168.0.114] Courier Mail Server 3.02 ESMTP service ready
>06.10.2013 00:13:33 04M0 EHLO windows
<06.10.2013 00:13:33 04M0 250-[192.168.0.114] greets windows
<06.10.2013 00:13:33 04M0 250-SIZE
<06.10.2013 00:13:33 04M0 250-AUTH PLAIN LOGIN CRAM-MD5
<06.10.2013 00:13:33 04M0 250 8BITMIME
>06.10.2013 00:13:34 04M0 AUTH LOGIN
<06.10.2013 00:13:34 04M0 334 VXNlcm5hbWU6
>06.10.2013 00:13:35 04M0 YWRtaW5pc3RyYXRvcg==
<06.10.2013 00:13:35 04M0 334 UGFzc3dvcmQ6
>06.10.2013 00:13:35 04M0 YWRtaW5pc3RyYXRvcg==
<06.10.2013 00:13:35 04M0 535 Authentication failed
>06.10.2013 00:13:36 04M0 QUIT
<06.10.2013 00:13:36 04M0 221 Service closing transmission channel
-06.10.2013 00:13:36 04M0 Отключился SMTP-клиент [59.181.126.229]
------------------------------>8===============================[CMSLog cut]=== |
Правда, это на самом деле проблематично. У меня на внешку по SMTP работает другой сервер: занимается фильтрацией спама в т.ч. по PTR и пересылает то, что осталось, на внутренний почтовый сервер. И на этом промежуточном SMTP-сервере только один пользователь-администратор с достаточно хитрым паролем. Но дело в том, что таких попыток производилось по несколько десятков в секунду. Одновременно было установлено около полутора сотен соединений. Неуютненько как-то ...
Пришлось по SMTP тоже ставить ограничение на 1 подключение с одного IP одновременно. А это как-то уже неаккуратненько. Но что делать?
Так что, по SMTP флуд-контроль и подсчет числа неудачных аутентификаций тоже желательно прикрутить. _________________ Все, что началось хорошо, закончится плохо.
Все, что началось плохо, закончится еще хуже.
Если вам кажется, что все идет хорошо, значит вы чего-то не замечаете.
Если все закончилось хорошо, то, значит, это еще не конец! |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum You cannot attach files in this forum You can download files in this forum
|
Powered by phpBB © 2001, 2005 phpBB Group
|