Tham gia Đăng nhập
Điểm:0
Anderson Koh avatar Server

Postfix: Không thể dừng cuộc tấn công "Xác thực đăng nhập SASL không thành công" trong Nhật ký thư

lá cờ gr
Anderson Koh

Tôi đang cố gắng ngăn chặn một cuộc tấn công và đăng nhập bằng Xác thực ĐĂNG NHẬP SASL không thành công cho máy chủ thư của tôi. Tuy nhiên, tôi đã cố gắng trong một ngày và vẫn không thể đạt được nó. Nhật ký tiếp tục tạo ra cuộc tấn công với cùng một IP.

Máy móc

Máy chủ Linux 5.4.0-109-generic #123-Ubuntu SMP Thứ sáu ngày 8 tháng 4 09:10:54 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux

Đăng nhập thư /var/log/mail.log

Ngày 28 tháng 4 20:45:23 server postfix/smtpd[112579]: kết nối từ không xác định[5.34.207.81]
Ngày 28 tháng 4 20:45:24 server postfix/smtpd[112409]: cảnh báo: không xác định[5.34.207.81]: xác thực SASL LOGIN thất bại: xác thực thất bại
Ngày 28 tháng 4 20:45:25 server postfix/smtpd[112409]: ngắt kết nối khỏi không xác định[5.34.207.81] ehlo=1 auth=0/1 rset=1 thoát=1 lệnh=3/4
Ngày 28 tháng 4 20:45:30 server postfix/smtpd[112599]: kết nối từ không xác định[5.34.207.81]
Ngày 28 tháng 4 20:45:31 server postfix/smtpd[112579]: cảnh báo: không xác định[5.34.207.81]: xác thực SASL LOGIN thất bại: xác thực thất bại
Ngày 28 tháng 4 20:45:32 server postfix/smtpd[112579]: ngắt kết nối khỏi không xác định[5.34.207.81] ehlo=1 auth=0/1 rset=1 thoát=1 lệnh=3/4
Ngày 28 tháng 4 20:45:36 server postfix/smtpd[112409]: kết nối từ không xác định[5.34.207.81]
Ngày 28 tháng 4 20:45:38 server postfix/smtpd[112599]: cảnh báo: không xác định[5.34.207.81]: xác thực SASL LOGIN thất bại: xác thực thất bại
Ngày 28 tháng 4 20:45:38 server postfix/smtpd[112599]: ngắt kết nối khỏi không xác định[5.34.207.81] ehlo=1 auth=0/1 rset=1 thoát=1 lệnh=3/4

Fail2Ban với IPtables

/etc/fail2ban/jail.local

[postfix-sasl]

đã bật = đúng
cổng = smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s

bantime = 10m
bộ lọc = postfix-sasl
#action = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s", giao thức=tcp]
logpath = /var/log/mail.log
thử lại tối đa = 15

tôi đã làm khởi động lại dịch vụ sudo fail2ban và điều có dây là tôi không thấy bất kỳ chuỗi nào có f2b-hậu tố.

Vì vậy, đã làm một grep từ fail2ban log và đây là kết quả:

Fail2Ban Đăng nhập /var/log/fail2ban.log

27-04-2022 16:27:10,133 fail2ban.actions [567]: THÔNG BÁO [postfix-sasl] Bỏ cấm 5.34.207.81
27-04-2022 16:27:45,391 fail2ban.actions [567]: THÔNG BÁO [postfix-sasl] Lệnh cấm 5.34.207.81
27-04-2022 16:32:17,801 fail2ban.actions [567]: THÔNG BÁO [postfix-sasl] Bỏ cấm 212.70.149.72
27-04-2022 22:37:46,299 fail2ban.actions [567]: THÔNG BÁO [postfix-sasl] Bỏ cấm 5.34.207.81

Fail2Ban với UFW

Trong nghiên cứu của mình, tôi hiểu rằng Fail2Ban có thể hoạt động với UFW nên tôi đã thực hiện một số nghiên cứu về nó và đây là cấu hình của tôi:

/etc/fail2ban/jail.local

[postfix-sasl]

đã bật = đúng
tạp chí =
phụ trợ = bỏ phiếu
bantime = -1 // Cấm vĩnh viễn? Có lẽ 
bộ lọc = postfix-sasl
logpath = /var/log/mail.log
thử lại tối đa = 15
lệnh cấm = ufw
thời gian tìm thấy = 120

Điều đáng nói là tôi đã nhập thủ công Sudo ufw chèn 1 từ chối từ 5.34.207.81 vào bất kỳ với Sudo ufw tải lại nhưng thật không may, tôi vẫn có thể thấy cuộc tấn công từ cùng một IP khi đăng nhập thư /var/log/mail.log 

Trạng thái: Đang hoạt động

Đến hành động từ
-- ------ ----
Ở mọi nơi TỪ CHỐI 212.70.149.72             
Ở mọi nơi TỪ CHỐI 5.34.207.81

Lọc cho cả hai trong Fail2Ban

/etc/fail2ban/filter.d/postfix-sasl.conf

[BAO GỒM]
trước = common.conf

[Sự định nghĩa]
_daemon = hậu tố/smtpd
failregex = ^(.*)\[<HOST>\]: Xác thực SASL (?:LOGIN|PLAIN) không thành công:(.*)$
bỏ quaregex =

Tài nguyên: Fail2ban với UFW

Đánh giá cao nó nếu ai đó có thể giúp tôi với điều này!

84
0 + 0
uww
Điểm:0
Anderson Koh avatar Server
lá cờ gr
Anderson Koh

cập nhật

Cuối cùng, của tôi Fail2Ban hoạt động như mong đợi và tôi sẽ đánh dấu đây là câu trả lời!

Giải pháp là thiết lập hoạt động tương đương với iptables-multiport để cấm nhiều cổng! Tuy nhiên, tôi không sử dụng UFW để hạn chế kẻ tấn công vì tôi nhận ra UFW luôn không được kích hoạt trong quá trình khởi động do xung đột với tường lửa.

Các giải pháp

Thêm dòng này vào của bạn /etc/fail2ban/jail.local

hành động = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s"]

Nó sẽ giống như thế này:

[postfix-sasl]

đã bật = đúng
bộ lọc = postfix-sasl
hành động = iptables-multiport[name=postfix, port="smtp,ssmtp,465,submission,imap,imaps,pop3,pop3s"]
logpath = /var/log/mail.log
thử lại tối đa = 15
bantime = 12h

Trước đây tôi đã đặt thử nghiệm tối đa đến 3 cho mục đích thử nghiệm. Bạn có thể muốn thay đổi nó thành một giá trị cao hơn. Nếu không, người dùng của bạn có thể nhanh chóng gặp rắc rối.

Kiểm tra trạng thái Fail2Ban

Thật đáng để kiểm tra nhà tù của bạn:

sudo fail2ban-server status postfix-sasl

Đầu ra:

Trạng thái của nhà tù: postfix-sasl
|- Bộ lọc
| |- Hiện không thành công: 2
| |- Tổng số không thành công: 49
| ` - Danh sách tệp: /var/log/mail.log
` - Hành động
   |- Đang bị cấm: 1
   |- Tổng số bị cấm: 3
   ` - Danh sách IP bị cấm: 5.34.207.81

Tài nguyên: Fail2Ban không thể đặt quy tắc Iptables:

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.