major988 Loginversuche

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

major988 Loginversuche

postfix_ml

Hallo zusammen,

in letzter Zeit tauchen sehr häufig in der /var/log/maillog folgende Zeilen auf:

dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs): user=<[hidden email]>, method=PLAIN, rip=177.52.249.103, lip=192.168.2.13, TLS, TLSv1.2 with cipher DHE-RSA-A
ES256-GCM-SHA384 (256/256 bits)
dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs): user=<major988>, method=PLAIN, rip=177.128.209.58, lip=192.168.2.13, TLS, TLSv1.2 with cipher DHE-RSA-AES256-GCM-SH
A384 (256/256 bits)
 
Immer mit wechselnden IP-Adressen. Ist ein da Bot im Internet unterwegs?
 
Gruß
Andreas
Reply | Threaded
Open this post in threaded view
|

AW: major988 Loginversuche

Uwe Drießen
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-
> [hidden email]] Im Auftrag von [hidden email]
> Gesendet: Dienstag, 26. März 2019 17:23
> An: [hidden email]
> Betreff: major988 Loginversuche
>
> Hallo zusammen,
>
> in letzter Zeit tauchen sehr häufig in der /var/log/maillog folgende Zeilen auf:
>
> dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs):
> user=<[hidden email]>, method=PLAIN, rip=177.52.249.103,
> lip=192.168.2.13, TLS, TLSv1.2 with cipher DHE-RSA-A
> ES256-GCM-SHA384 (256/256 bits)
> dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs):
> user=<major988>, method=PLAIN, rip=177.128.209.58, lip=192.168.2.13, TLS,
> TLSv1.2 with cipher DHE-RSA-AES256-GCM-SH
> A384 (256/256 bits)
>
> Immer mit wechselnden IP-Adressen. Ist ein da Bot im Internet unterwegs?
>
> Gruß
> Andreas

Einer ???


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Re: major988 Loginversuche

Michael Grundmann-2
In reply to this post by postfix_ml
Am 26.03.19 um 17:22 schrieb [hidden email]:

Hallo Andreas,

ich setze an dieser Stelle auf fail2ban

> Hallo zusammen,
>
> in letzter Zeit tauchen sehr häufig in der /var/log/maillog folgende
> Zeilen auf:
>
> dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs):
> user=<[hidden email]>, method=PLAIN, rip=177.52.249.103,
> lip=192.168.2.13, TLS, TLSv1.2 with cipher DHE-RSA-A
> ES256-GCM-SHA384 (256/256 bits)
> dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs):
> user=<major988>, method=PLAIN, rip=177.128.209.58, lip=192.168.2.13,
> TLS, TLSv1.2 with cipher DHE-RSA-AES256-GCM-SH
> A384 (256/256 bits)
> Immer mit wechselnden IP-Adressen. Ist ein da Bot im Internet unterwegs?
> Gruß
> Andreas


--
Gruß Michael

Wenn du verstehst, was du tust, wirst du nichts lernen
BTW: Produktionsbremsen sind immer die Bürokraten
Reply | Threaded
Open this post in threaded view
|

Re: major988 Loginversuche

Alexander Dalloz
Am 26.03.2019 um 18:10 schrieb Michael Grundmann:
> ich setze an dieser Stelle auf fail2ban

Das heißt, Du blockst bereits nach dem 1. Fehler? Ungeachtet dessen,
dass dies problematisch ist, wenn Du eine Userbasis hast, was soll das
bringen, wenn die zugreifenden Clients ständig wechseln, Client IP
Adressen also ständig andere sind?

Alexander

Reply | Threaded
Open this post in threaded view
|

Re: major988 Loginversuche

Alexander Dalloz
In reply to this post by postfix_ml


Am 26.03.2019 um 17:22 schrieb [hidden email]:

> Hallo zusammen,
>
> in letzter Zeit tauchen sehr häufig in der /var/log/maillog folgende
> Zeilen auf:
>
> dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs):
> user=<[hidden email]>, method=PLAIN, rip=177.52.249.103,
> lip=192.168.2.13, TLS, TLSv1.2 with cipher DHE-RSA-A
> ES256-GCM-SHA384 (256/256 bits)
>
> dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs):
> user=<major988>, method=PLAIN, rip=177.128.209.58, lip=192.168.2.13,
> TLS, TLSv1.2 with cipher DHE-RSA-AES256-GCM-SH
> A384 (256/256 bits)
>
> Immer mit wechselnden IP-Adressen. Ist ein da Bot im Internet unterwegs?
>
>
> Gruß
> Andreas
>

Ja, sehe ich auch bei mir in letzter Zeit. Interessant ist, dass
wirklich immer neue Client IP Adressen aufschlagen. Die Frequenz ist bei
mir klein, die Zahl der Usernamen, mit denen Logins versucht werden aber
klein und zielsicher. Das ist kein blindes Brute Forcen der Loginkennungen.

Dafür sind die verwendeten Passwörter erschreckend einfältig. Ich habe
mal einen überschaubaren Zeitraum raum lang dovecot im Debug Modus
mitloggen lassen, um einen Eindruck zu erhalten, welche Muster die
ausprobierten Passwörter zeigen.

~]# egrep -o '(SHA512-CRYPT\(.*\))' /var/log/maillog-20190324 | sort |
uniq -c
       2 SHA512-CRYPT(00000000)
       1 SHA512-CRYPT(123qweasd)
       2 SHA512-CRYPT(a)
       1 SHA512-CRYPT(ad07)
       1 SHA512-CRYPT(ad1992)
       1 SHA512-CRYPT(ad2008)
       1 SHA512-CRYPT(ads)
       1 SHA512-CRYPT(alexander07)
       1 SHA512-CRYPT(alexander16)
       1 SHA512-CRYPT(alexander7)
       1 SHA512-CRYPT(amanda)
       1 SHA512-CRYPT(amores)
       1 SHA512-CRYPT(hunter)
       2 SHA512-CRYPT(jackson)
       1 SHA512-CRYPT(jennifer)
       2 SHA512-CRYPT(jesus)
       1 SHA512-CRYPT(michelle)
       2 SHA512-CRYPT(money)
       2 SHA512-CRYPT(mustang)
       1 SHA512-CRYPT(princess)
       1 SHA512-CRYPT(qwertyuiop)
       1 SHA512-CRYPT(rosemary)
       2 SHA512-CRYPT(test)
       1 SHA512-CRYPT(tigger)

Das mag nicht für alle Opfer repräsentativ sein und sich in Zukunft ändern.

Alexander
Reply | Threaded
Open this post in threaded view
|

Re: major988 Loginversuche

Michael Grundmann-2
In reply to this post by Alexander Dalloz
Am 26.03.19 um 21:46 schrieb Alexander Dalloz:

> Am 26.03.2019 um 18:10 schrieb Michael Grundmann:
>> ich setze an dieser Stelle auf fail2ban
>
> Das heißt, Du blockst bereits nach dem 1. Fehler? Ungeachtet dessen,
> dass dies problematisch ist, wenn Du eine Userbasis hast, was soll das
> bringen, wenn die zugreifenden Clients ständig wechseln, Client IP
> Adressen also ständig andere sind?
>
> Alexander
>
Hi,
wenn ich so eine spezielle Welle vor mir habe, schraube ich das
tatsächlich auf eins runter. Ich lege ja nicht permanent neue Konten an,
bei denen sich die User beim Einrichten vertippen.


--
Gruß Michael

Wenn du verstehst, was du tust, wirst du nichts lernen
BTW: Produktionsbremsen sind immer die Bürokraten