Page 1 of 1
Brute Force Versuche pop3-Login
Posted: Wed 11. Aug 2021, 13:40
by tab-kh
Mir ist eben aufgefallen, dass es offenbar möglich ist, beliebig viele pop3 Login-Versuche zu machen und es greift keine Drosselung oder jedenfalls habe ich ca 3 Versuche/Sekunde in syslog. Immer die selbe IP, mit unterschiedlichen Usern, die alle nicht existieren. Ich dachte da sei eine Drosselung eingebaut seit Keyhelp 19.3? Oder gilt die nur für immer den selben User? Ich habe die IP dann gleich mal in iptables manuell komplett gesperrt, IP ( 27.255.75.110) stammt wohl aus Korea. Muss ich das per fail2ban lösen oder ist das in Keyhelp doch irgendwie einstellbar? Und wie sieht es bei IMAP aus?
Edit, hier eine exemplarische Zeile aus der syslog:
Code: Select all
Aug 11 12:46:41 xxxxx dovecot: pop3-login: Aborted login (auth failed, 1 attempts in 0 secs): user=<tono>, rip=27.255.75.110, lip=xxx.xxx.xxx.xxx, session=<57RmVUbJge4b/0tu>
Re: Brute Force Versuche pop3-Login
Posted: Wed 11. Aug 2021, 14:33
by OlliTheDarkness
tab-kh wrote: ↑Wed 11. Aug 2021, 13:40
Mir ist eben aufgefallen, dass es offenbar möglich ist, beliebig viele pop3 Login-Versuche zu machen und es greift keine Drosselung oder jedenfalls habe ich ca 3 Versuche/Sekunde in syslog. Immer die selbe IP, mit unterschiedlichen Usern, die alle nicht existieren. Ich dachte da sei eine Drosselung eingebaut seit Keyhelp 19.3? Oder gilt die nur für immer den selben User? Ich habe die IP dann gleich mal in iptables manuell komplett gesperrt, IP ( 27.255.75.110) stammt wohl aus Korea. Muss ich das per fail2ban lösen oder ist das in Keyhelp doch irgendwie einstellbar? Und wie sieht es bei IMAP aus?
Edit, hier eine exemplarische Zeile aus der syslog:
Code: Select all
Aug 11 12:46:41 xxxxx dovecot: pop3-login: Aborted login (auth failed, 1 attempts in 0 secs): user=<tono>, rip=27.255.75.110, lip=xxx.xxx.xxx.xxx, session=<57RmVUbJge4b/0tu>
Wäre mir neu.
Löse das schon ewig mit F2B.
Und wenn es das doch geben sollte, passiert, doppelt hält besser
Re: Brute Force Versuche pop3-Login
Posted: Wed 11. Aug 2021, 14:49
by tab-kh
Ok, habe ich jetzt auf dem betroffenen Server auch mal gemacht, ich meinte halt das hier:
Code: Select all
19.3 / 29 October 2019
New Features / Added Content
API
Securing all relevant areas (login, API, forgot password, 2FA) with a brute force throttling mechanism
Option to enable a maintenance mode for the KeyHelp UI
Den IMAP/POP3 Login halte ich schon auch für relevant.
Au weia, jetzt ist das A******ch auf dem zweiten Server unterwegs, gleich auch mal fail2ban anpassen.
Edit: Bingo, hat ihn schon erwischt. Leider kann ich kein koreanisch, sonst würde ich mich bei ihm bedanken, dass er den Tester gespielt hat.
Re: Brute Force Versuche pop3-Login
Posted: Wed 11. Aug 2021, 14:49
by Alexander
Auszug aus dem Changelog von 19.3 auf den du dich wahrscheinlich beziehst
Securing all relevant areas (login, API, forgot password, 2FA) with a brute force throttling mechanism
Das gilt nur für alle Schnittstellen im KeyHelp:
- also den KeyHelp-Login-Bereich
- die KeyHelp-API-Authentisierung
- KeyHelp-Passwort-Vergessen-Funktion
- KeyHelp-2FA im Anschluss an das Absenden der Login-Maske.
Es gilt nicht für die Schnittstellen der Serverdienste, wie Email-Login, FTP-Login, SSH-Login etc, dafür ist Fail2Ban der richtige Kandidat
.
Re: Brute Force Versuche pop3-Login
Posted: Wed 11. Aug 2021, 14:55
by tab-kh
Danke für die Klarstellung. Dann muss ich jetzt gleich noch den ProFTP abdichten.