有人正试图蛮力(?)我的私人邮件服务器......非常......缓慢......并且改变了IP

信息安全 攻击 防火墙 蛮力
2021-08-18 02:52:48

这已经持续了大约1-2天:

heinzi@guybrush:~$ less /var/log/mail.log | grep '^Nov 27 .* postfix/submission.* warning'
[...]
Nov 27 03:36:16 guybrush postfix/submission/smtpd[7523]: warning: hostname bd676a3d.virtua.com.br does not resolve to address 189.103.106.61
Nov 27 03:36:22 guybrush postfix/submission/smtpd[7523]: warning: unknown[189.103.106.61]: SASL PLAIN authentication failed:
Nov 27 03:36:28 guybrush postfix/submission/smtpd[7523]: warning: unknown[189.103.106.61]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 04:08:58 guybrush postfix/submission/smtpd[8714]: warning: hostname b3d2f64f.virtua.com.br does not resolve to address 179.210.246.79
Nov 27 04:09:03 guybrush postfix/submission/smtpd[8714]: warning: unknown[179.210.246.79]: SASL PLAIN authentication failed:
Nov 27 04:09:09 guybrush postfix/submission/smtpd[8714]: warning: unknown[179.210.246.79]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 05:20:11 guybrush postfix/submission/smtpd[10175]: warning: hostname b3d0600e.virtua.com.br does not resolve to address 179.208.96.14
Nov 27 05:20:16 guybrush postfix/submission/smtpd[10175]: warning: unknown[179.208.96.14]: SASL PLAIN authentication failed:
Nov 27 05:20:22 guybrush postfix/submission/smtpd[10175]: warning: unknown[179.208.96.14]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 06:42:43 guybrush postfix/submission/smtpd[12927]: warning: hostname b18d3903.virtua.com.br does not resolve to address 177.141.57.3
Nov 27 06:42:48 guybrush postfix/submission/smtpd[12927]: warning: unknown[177.141.57.3]: SASL PLAIN authentication failed:
Nov 27 06:42:54 guybrush postfix/submission/smtpd[12927]: warning: unknown[177.141.57.3]: SASL LOGIN authentication failed: VXNlcm5hbWU6
Nov 27 08:01:08 guybrush postfix/submission/smtpd[14161]: warning: hostname b3db68ad.virtua.com.br does not resolve to address 179.219.104.173
Nov 27 08:01:13 guybrush postfix/submission/smtpd[14161]: warning: unknown[179.219.104.173]: SASL PLAIN authentication failed:
Nov 27 08:01:19 guybrush postfix/submission/smtpd[14161]: warning: unknown[179.219.104.173]: SASL LOGIN authentication failed: VXNlcm5hbWU6

每 1-2 小时有一次登录尝试失败,总是来自同一个域,但每次来自不同的 IP 地址。因此,它不会触发fail2ban,并且日志检查消息开始让我烦恼。:-)

我的问题:

  1. 这种“攻击”的意义何在?这个速度太慢了,无法进行任何有效的暴力破解,我真的怀疑有人会专门针对我的小型个人服务器。

  2. 除了禁止该提供商的完整 IP 范围外,我能做些什么来对付它?我可以停止担心并将这些消息添加到我的 logcheck 忽略配置中(因为我的密码很强大),但这可能会导致我错过更严重的攻击。

4个回答

这种“攻击”的意义何在?这个速度太慢了,无法进行任何有效的暴力破解,我真的怀疑有人会专门针对我的小型个人服务器。

您可能很少看到连接,但是您怎么知道执行暴力破解的机器人不会不断地使他们的上行链接饱和,而您的网站只是众多受到攻击的网站之一?与一次攻击大量服务器相比,攻击者一次只花很短的时间跟踪一个站点(并触发fail2ban)没有任何优势,其中每台服务器只能看到不频繁的连接。两者可以具有相同的每秒传出身份验证尝试的总速率,但一次攻击一个站点只是对攻击者带宽的低效使用。

除了禁止该提供商的完整 IP 范围(或忽略消息,因为我的密码很强大)之外,我能做些什么来对付它?

不,不是。很有可能,这些来自僵尸网络或低成本 VPS 集群。仅通过查看其中一些 IP 范围,无法确定可能正在使用哪些其他 IP 范围。如果它们不在同一个子网上,则无法预测。您可以放心地忽略这些连接。它只不过是互联网的背景噪音。只要确保你不是低垂的果实。

问题 1——除非是错误配置(如评论中所述),以我的经验,这些似乎是自动攻击,寻找可以从中发送未经请求的商业电子邮件(或网络钓鱼尝试)的帐户。

问题 2 - 如果您的合法登录所来自的 IP 范围是已知的并且足够小,那么阻止除这些范围之外的所有内容可能会更容易。

我管理着一个小型企业电子邮件服务器,这种类型的探测几乎不断地发生在我们身上。

每 1-2 小时尝试 1 次?这不是蛮力。

也许是某人的 iPhone 密码已过期。可能是你的!或者,如果您正在重用托管公司的 IP 地址,则以前的“所有者”可能仍然在某处拥有一些电子邮件客户端,配置为转到 [现在] 您的 IP。

如果您有 IP 地址,那么您至少可以跟踪它们。

禁止反复尝试破解系统的 IP 的标准现有做法仅适用于有针对性的攻击。

僵尸网络可以找到一个庞大的服务器列表,并在僵尸网络中分配攻击者和攻击者。症状将是针对您的系统的失败登录尝试的后台级别,直到成功,此时他们将部署一些升级到 root 并将您的系统添加到僵尸网络的工具包。

您可以通过很少的方式来防御这种情况。

强密码是一种可能的防御措施,但需要与保护您的系统以防非基于密码的攻击相结合。假设您的登录系统存在缓冲区溢出/下溢攻击;可以切换僵尸网络以进行该攻击并每分钟根除 1000 多个系统,包括您的系统。

另一种防御可能是默默无闻。这类攻击追求的是唾手可得的果实。将您的登录系统修改为(例如)在允许登录尝试之前需要对特定端口号进行 ping 操作。这纯粹是晦涩难懂的,但突然间它看起来不再像那里有登录的地方了。代价是您现在需要制作一个特定的 ping 来远程登录。或者,您可以将一些允许您远程登录的 IP 地址列入白名单。

最后一种极其困难的方法是生成一个分布式僵尸网络密码黑客系统检测器。正如系统跟踪攻击它们的 IP 地址一样,分布式系统可以跟踪攻击任何人的僵尸网络。加入信任系统流,您可以构建能够检测此类密码破解僵尸网络并让所有人阻止它们的基础设施。

这样的努力需要多年的工作,而且很可能会失败。但这是你可以做的。

其它你可能感兴趣的问题
上一篇为什么自动柜员机接受任何密码? 下一篇为什么密码的客户端散列如此罕见?