Login-Versuche
Hallo,
ich bekomme jetzt öfters mal einen Haufen von connect-Versuchen dieser Art:
Aug 8 11:02:49 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=190.8.44.74, lip=192.108.34.20, session=
Aug 8 11:02:49 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=199.48.147.41, lip=192.108.34.20, session=
Aug 8 11:03:09 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=202.70.32.9, lip=192.108.34.20, session=
Aug 8 11:04:09 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=120.194.242.92, lip=192.108.34.20, session=
Aug 8 11:04:19 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=24.183.232.214, lip=192.108.34.20, session=
Aug 8 11:04:19 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=77.122.137.132, lip=192.108.34.20, session=
Aug 8 11:04:42 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=77.122.137.132, lip=192.108.34.20, session=
Aug 8 11:04:44 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=120.194.242.92, lip=192.108.34.20, session=
Aug 8 11:07:20 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=41.42.218.30, lip=192.108.34.20, session=
Aug 8 11:08:03 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=123.201.213.84, lip=192.108.34.20, session=
Aug 8 11:08:12 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=24.210.239.227, lip=192.108.34.20, session=
Aug 8 11:08:39 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=123.110.209.209, lip=192.108.34.20, session=
Aug 8 11:11:47 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=80.11.21.38, lip=192.108.34.20, session=
Aug 8 11:12:04 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=72.224.11.78, lip=192.108.34.20, session=
Aug 8 11:12:41 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=202.70.32.9, lip=192.108.34.20, session=
Aug 8 11:12:44 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=77.249.10.7, lip=192.108.34.20, session=
Aug 8 11:13:13 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=123.201.189.242, lip=192.108.34.20, session=
Aug 8 11:34:02 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=123.110.209.209, lip=192.108.34.20, session=
Aug 8 11:34:24 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=123.201.189.242, lip=192.108.34.20, session=
Aug 8 11:37:11 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
user=, rip=190.8.44.74, lip=192.108.34.20, session=
Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.
Wenn dies so ist, kann/sollte ich etwas dagegen tun?
fail2ban ist installiert, spricht hierauf aber nicht an.
Viele Grüße
Helmut
—
————————————————————————-
Helmut Lichtenberg Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany
————————————————————————-
-
8. August 2013
-
Helmut Lichtenberg
-
6 Antworten
* Helmut Lichtenberg :
> Hallo,
> ich bekomme jetzt öfters mal einen Haufen von connect-Versuchen dieser Art:
>
> Aug 8 11:02:49 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
> user=, rip=190.8.44.74, lip=192.108.34.20, session=
> Aug 8 11:02:49 mail dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth):
> user=, rip=199.48.147.41, lip=192.108.34.20, session=
…
>
> Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
> IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.
Es sind die klassischen Anzeichen dafür, ja.
> Wenn dies so ist, kann/sollte ich etwas dagegen tun?
> fail2ban ist installiert, spricht hierauf aber nicht an.
Warum nicht? Hast Du keine Regel dafür erstellt?
p@rick
—
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Patrick Ben Koetter schrieb am 08.08.2013 12:59:
> > Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
> > IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.
>
> Es sind die klassischen Anzeichen dafür, ja.
>
> > Wenn dies so ist, kann/sollte ich etwas dagegen tun?
> > fail2ban ist installiert, spricht hierauf aber nicht an.
>
> Warum nicht? Hast Du keine Regel dafür erstellt?
doch, siehe letzten Post. Aber ist vielleicht maxretry hier zu hoch?
[DEFAULT]
action = %(action_mwl)s
backend = polling
ignoreip = 127.0.0.1/8 192.108.34.3
maxretry = 6
Gruß
Helmut
—
————————————————————————-
Helmut Lichtenberg Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany
————————————————————————-
* Helmut Lichtenberg :
> Patrick Ben Koetter schrieb am 08.08.2013 12:59:
> > > Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
> > > IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.
> >
> > Es sind die klassischen Anzeichen dafür, ja.
> >
> > > Wenn dies so ist, kann/sollte ich etwas dagegen tun?
> > > fail2ban ist installiert, spricht hierauf aber nicht an.
> >
> > Warum nicht? Hast Du keine Regel dafür erstellt?
>
> doch, siehe letzten Post. Aber ist vielleicht maxretry hier zu hoch?
>
> [DEFAULT]
> action = %(action_mwl)s
> backend = polling
> ignoreip = 127.0.0.1/8 192.108.34.3
> maxretry = 6
Wenn die IP seltener als $maxretry vorbeikommt, ja.
Sieh dir mal
von Robert an. Vielleicht paßt das besser.
p@rick
—
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Patrick Ben Koetter schrieb am 08.08.2013 13:19:
> Wenn die IP seltener als $maxretry vorbeikommt, ja.
Selbst ein maxretry von 1 würde ja nicht helfen. Laut Log kommen oft
zwei Versuche pro Sekunde, allerdings von verschiedenen IPs.
> Sieh dir mal
>
> von Robert an. Vielleicht paßt das besser.
Ja, ein Hinweis darauf wurde vor kurzem auf der Liste gepostet. Ich habe es
mir angesehen und dachte, sieht elegant aus, aber betrifft mich (noch) nicht.
So kann man sich irren. :^)
Ich werde mir das mal in einer ruhigen Stunde ansehen. Danke für den Tip.
Gruß
Helmut
—
————————————————————————-
Helmut Lichtenberg Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany
————————————————————————-
[08.08.2013 12:49] [Helmut Lichtenberg]:
>
> Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
> IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.
>
> Wenn dies so ist, kann/sollte ich etwas dagegen tun?
> fail2ban ist installiert, spricht hierauf aber nicht an.
Hallo Helmut,
wie hast Du fail2ban denn dafür konfiguriert? Meine Version hat keinen
vorgegebenen Abschnitt für dovecot oder pop.
Wohin loggt dovecot? Nach /var/log/dovecot oder zu syslog, also
vermutlich nach /var/log/mail?
Gruß
Werner
—
Hallo Werner,
Werner Flamme schrieb am 08.08.2013 13:03:
> [08.08.2013 12:49] [Helmut Lichtenberg]:
> >
> > Kann ich davon ausgehen, dass dies ein Angriff ist? Die vielen verschiedenen
> > IP-Adressen, z.T in sehr kurzen Zeitabständen, sprechen m.E. dafür.
> >
> > Wenn dies so ist, kann/sollte ich etwas dagegen tun?
> > fail2ban ist installiert, spricht hierauf aber nicht an.
>
> wie hast Du fail2ban denn dafür konfiguriert? Meine Version hat keinen
> vorgegebenen Abschnitt für dovecot oder pop.
>
> Wohin loggt dovecot? Nach /var/log/dovecot oder zu syslog, also
> vermutlich nach /var/log/mail?
hier der betreffende Teil aus jail.local:
[dovecot]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = dovecot
logpath = /var/log/mail.log
Ab und zu werden auch Adressen gesperrt, allerdings für Postfix:
[postfix]
enabled = true
port = smtp,ssmtp,submission
filter = postfix
logpath = /var/log/mail.log
Dovecot loggt also nach /var/log/mail.log via syslog.
Gruß
Helmut
—
————————————————————————-
Helmut Lichtenberg Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany
————————————————————————-