Brute Force Versuche pop3-Login

Locked
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Brute Force Versuche pop3-Login

Post by tab-kh »

Mir ist eben aufgefallen, dass es offenbar möglich ist, beliebig viele pop3 Login-Versuche zu machen und es greift keine Drosselung oder jedenfalls habe ich ca 3 Versuche/Sekunde in syslog. Immer die selbe IP, mit unterschiedlichen Usern, die alle nicht existieren. Ich dachte da sei eine Drosselung eingebaut seit Keyhelp 19.3? Oder gilt die nur für immer den selben User? Ich habe die IP dann gleich mal in iptables manuell komplett gesperrt, IP ( 27.255.75.110) stammt wohl aus Korea. Muss ich das per fail2ban lösen oder ist das in Keyhelp doch irgendwie einstellbar? Und wie sieht es bei IMAP aus?

Edit, hier eine exemplarische Zeile aus der syslog:

Code: Select all

Aug 11 12:46:41 xxxxx dovecot: pop3-login: Aborted login (auth failed, 1 attempts in 0 secs): user=<tono>, rip=27.255.75.110, lip=xxx.xxx.xxx.xxx, session=<57RmVUbJge4b/0tu>
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Brute Force Versuche pop3-Login

Post by OlliTheDarkness »

tab-kh wrote: Wed 11. Aug 2021, 13:40 Mir ist eben aufgefallen, dass es offenbar möglich ist, beliebig viele pop3 Login-Versuche zu machen und es greift keine Drosselung oder jedenfalls habe ich ca 3 Versuche/Sekunde in syslog. Immer die selbe IP, mit unterschiedlichen Usern, die alle nicht existieren. Ich dachte da sei eine Drosselung eingebaut seit Keyhelp 19.3? Oder gilt die nur für immer den selben User? Ich habe die IP dann gleich mal in iptables manuell komplett gesperrt, IP ( 27.255.75.110) stammt wohl aus Korea. Muss ich das per fail2ban lösen oder ist das in Keyhelp doch irgendwie einstellbar? Und wie sieht es bei IMAP aus?

Edit, hier eine exemplarische Zeile aus der syslog:

Code: Select all

Aug 11 12:46:41 xxxxx dovecot: pop3-login: Aborted login (auth failed, 1 attempts in 0 secs): user=<tono>, rip=27.255.75.110, lip=xxx.xxx.xxx.xxx, session=<57RmVUbJge4b/0tu>
Wäre mir neu.

Löse das schon ewig mit F2B.

Und wenn es das doch geben sollte, passiert, doppelt hält besser :lol:
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Brute Force Versuche pop3-Login

Post by tab-kh »

Ok, habe ich jetzt auf dem betroffenen Server auch mal gemacht, ich meinte halt das hier:

Code: Select all

 19.3 / 29 October 2019
New Features / Added Content

    API
    Securing all relevant areas (login, API, forgot password, 2FA) with a brute force throttling mechanism
    Option to enable a maintenance mode for the KeyHelp UI
Den IMAP/POP3 Login halte ich schon auch für relevant. :lol:

Au weia, jetzt ist das A******ch auf dem zweiten Server unterwegs, gleich auch mal fail2ban anpassen. :roll:

Edit: Bingo, hat ihn schon erwischt. Leider kann ich kein koreanisch, sonst würde ich mich bei ihm bedanken, dass er den Tester gespielt hat.
Last edited by tab-kh on Wed 11. Aug 2021, 14:51, edited 1 time in total.
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Brute Force Versuche pop3-Login

Post by Alexander »

Auszug aus dem Changelog von 19.3 auf den du dich wahrscheinlich beziehst
Securing all relevant areas (login, API, forgot password, 2FA) with a brute force throttling mechanism
Das gilt nur für alle Schnittstellen im KeyHelp:
- also den KeyHelp-Login-Bereich
- die KeyHelp-API-Authentisierung
- KeyHelp-Passwort-Vergessen-Funktion
- KeyHelp-2FA im Anschluss an das Absenden der Login-Maske.

Es gilt nicht für die Schnittstellen der Serverdienste, wie Email-Login, FTP-Login, SSH-Login etc, dafür ist Fail2Ban der richtige Kandidat ;).
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: Brute Force Versuche pop3-Login

Post by tab-kh »

Danke für die Klarstellung. Dann muss ich jetzt gleich noch den ProFTP abdichten.
Locked