Перебор паролей - Форум Kerio-rus
Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Connect (бывший Mail Server)

Важная информация

Ответ
 
Опции темы
Старый 30.08.2019, 05:40   #1
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 126
По умолчанию Перебор паролей

Доброе утро.
Наблюдаю в логах постоянные попытки перебора пароля либо поиск OpenRelay.
Серверу месяца ещё нет, им даже не пользовались.
Вопрос в следующем:
- вот например подсеть из которой идёт атака 139.162.0.0/16
есть ли смысл писать на админский адрес жалобу или просто блокировать подсеть на фаере
Кто как реагирует на такие угрозы?
Списки спамхаус и другие пока не активированы.
Т.к. почтовый сервер стоит за фаером, пока использую BAN-лист на KWF
Изображения
Тип файла: jpg 43kQfeY.jpg (6.1 Кб, 13 просмотров)
©©©® вне форума   Ответить с цитированием Вверх
Старый 30.08.2019, 09:51   #2
exchar
Пользователь
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 4,210
По умолчанию Re: Перебор паролей

Цитата:
Сообщение от ©©©® Посмотреть сообщение
вот например подсеть из которой идёт атака 139.162.0.0/16
есть ли смысл писать на админский адрес жалобу
хочешь - пиши
в твоем случае писать нужно сюда: [Для просмотра данной ссылки нужно зарегистрироваться]
Цитата:
Сообщение от ©©©® Посмотреть сообщение
или просто блокировать подсеть на фаере
можно так, да
напоминает борьбу с ветряными мельницами, работает, но регулярно отвлекает
еще можно поискать более продвинутый фаер, который умеет понимать атаку с подсетей и автоматом блокировать подсети/конкретные ip. я специально не искал.

Цитата:
Сообщение от ©©©® Посмотреть сообщение
Списки спамхаус и другие пока не активированы.
они для другого.
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar на форуме   Ответить с цитированием Вверх
Старый 31.08.2019, 06:06   #3
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 126
По умолчанию Re: Перебор паролей

Выглядит данный список вот так
это за неполный месяц работы.
Правило создаю на Керио Фаере, но в основном атака идёт на почтовый сервер.
©©©® вне форума   Ответить с цитированием Вверх
Старый 31.08.2019, 18:13   #4
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,093
По умолчанию Re: Перебор паролей

да брось ты это занятие, всех не перезабанишь
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 01.09.2019, 14:56   #5
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,144
По умолчанию Re: Перебор паролей

Гораздо проще разрешать доступ к админкам и прочему чувствительному только со списка разрешённых айпишников, а всех остальных при попытке доступа к этим адресам редиректить на какую-нибудь затычку. Или вообще дропать.
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 01.09.2019, 17:51   #6
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,093
По умолчанию Re: Перебор паролей

Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
ораздо проще разрешать доступ к админкам и прочему чувствительному только со списка разрешённых айпишников, а всех остальных при попытке доступа к этим адресам редиректить на какую-нибудь затычку. Или вообще дропать.
так там по СМТП авторизоваться пытаются, не в админку вроде лезут
но держать админку выставленную "наружу" это моветон, тут спору нет
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 02.09.2019, 07:04   #7
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,144
По умолчанию Re: Перебор паролей

И что? У него юзеры почты по всему миру? У мну и по СМТП авторизация доступна только с определённого списка айпишников. Смысл давать долбиться всем подряд и отовсюду, если оттуда и не должен вообще никто свой приходить?
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 02.09.2019, 23:37   #8
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,093
По умолчанию Re: Перебор паролей

Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
И что? У него юзеры почты по всему миру?
хз
может и так, топикстартер ничего не рассказывал




Цитата:
Сообщение от Mr.Torture Посмотреть сообщение
Смысл давать долбиться всем подряд и отовсюду, если оттуда и не должен вообще никто свой приходить?
если не должен то конечно, тут согласен полностью
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 05.09.2019, 07:25   #9
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 126
По умолчанию Re: Перебор паролей

Админка у меня доступна только со своих адресов, вернее сначала правило с доступом со своих, потом правило "Баня", потом со всех остальных (на случай срочного захода не из "дома")
Пользователи почты в основном работают с сервером по ВПН каналу либо вообще локально, из вне только мой телефон подключен.
Я понимаю, что всех не забанить, но возможно есть более эффективные методы.
©©©® вне форума   Ответить с цитированием Вверх
Старый 05.09.2019, 09:18   #10
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,093
По умолчанию Re: Перебор паролей

Цитата:
Сообщение от ©©©® Посмотреть сообщение
Я понимаю, что всех не забанить, но возможно есть более эффективные методы.
отключить пользовательскую авторизацию из интернетов
ну или вообще интернет
первое как делается я честно говоря не знаю, никогда не заморачивался
второе понятное дело радикальный метод
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 28.10.2019, 10:52   #11
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 126
По умолчанию Re: Перебор паролей

Подниму тему.
Вот логи с почтового сервера

а вот логи с самого сервера

Перебирают несколько англоязычных логинов.
Как считаете, каков уровень опасности данных действий? На самом Win сервере политика 3 попытки = 10 минут блок

Сам сервак не имеет сетевух контактирующих как с внешним так и с локальным миром, одна сетевуха офнута, вторая отдана гипервизором на Керио Контрол и используется им как WAN интерфейс.

Настройка безопасности на почтовом сервере такая:
1. NTLM отключить совсем? (в хелпе пишут используется первый доступный, я не уверен относительно оставшихся двух, что скажете?)
2. Требовать шифрованное подключение (пользователи подключаются частично внутри сети, а частично внешние. Сертификат стоит бесплатный, но никто из них точно не смотрит что за сертификат используется.
©©©® вне форума   Ответить с цитированием Вверх
Старый 28.10.2019, 18:22   #12
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,093
По умолчанию Re: Перебор паролей

конечно отключи
до кучи ИП-адрес с которого идёт перебор в бан-список на фоерволе


а вот аудит отказа входа в винду я не понял ....
по РДП что ль пытаются?
ну или что такое 4625 ?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 29.10.2019, 09:05   #13
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 126
По умолчанию Re: Перебор паролей

4625 — Отказ входа в систему
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход

Видимо раз авторизация по NTLM, почтовик то виндовый, то и авторизовать пытается об сам WIN сервер.
©©©® вне форума   Ответить с цитированием Вверх
Старый 29.10.2019, 09:10   #14
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 126
По умолчанию Re: Перебор паролей

И да чем отличается "безопасное подключение" от "шифрованного"
©©©® вне форума   Ответить с цитированием Вверх
Старый 29.10.2019, 09:40   #15
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 15,093
По умолчанию Re: Перебор паролей

Цитата:
Сообщение от ©©©® Посмотреть сообщение
Видимо раз авторизация по NTLM, почтовик то виндовый, то и авторизовать пытается об сам WIN сервер.
да, точно
чёто туплю я
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 14:17. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2020, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях