Aller au contenu


Tentative de login frauduleux


  • Veuillez vous connecter pour répondre
2 réponses à ce sujet

#1 TheActarus

TheActarus

    Nouveau membre

  • Membres
  • 2 messages

Posté 22 novembre 2018 - 09:40

Bonjour à tous,
Je me permets de poster cet appel au secours, car j'ai un souci sur mon serveur Zimbra OSE 8.7.10_GA_1829, (authentification via AD).
Depuis 2 jours, j'ai des tentatives incessantes de connexion venant de XXXX adresse IP extérieures. Du coup, cela m'a verrouillé des comptes (j'avais activé dans la COS un blocage si trop de tentative de connexions infructueuses). J'ai dû désactiver ce paramètre, sinon les utilisateurs n'avaient plus accès aux boites mails concernées par le blocage. J'ai suivi la procédure de filtrage Dos :https://wiki.zimbra.com/wiki/DoSFilter, et j'ai donc exécuté ces commandes, mais aucun changement :
zmprov mcf zimbraInvalidLoginFilterDelayInMinBetwnReqBeforeReinstating 25
zmprov mcf zimbraInvalidLoginFilterMaxFailedLogin 5
zmmailboxdctl restart
Je pense que comme les IPS essayant de se connecter sont différentes, il ne peux les bloquer vu qu"elles ne font pas suffisamment de requêtes. Voici des exemples extraits de /opt/zimbra/log/aaudit.log :
2018-11-22 09:35:21,618 WARN  [ImapSSLServer-38] [ip=iplocaldemonserveurzimbra;oip=179.255.176.11;via=iplocaldemonserveurzimbra(nginx/1.7.1);ua=Zimbra/8.7.10_GA_1829;] security - cmd=Auth; account=x.xx@xx.fr; protocol=imap; error=authentication failed for [x.xx@xx.fr], external LDAP auth failed, LDAP error:  - unable to ldap authenticate: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580;
2018-11-22 09:35:22,618 WARN  [ImapSSLServer-40] [ip=iplocaldemonserveurzimbra;oip=91.98.26.154;via=iplocaldemonserveurzimbra(nginx/1.7.1);ua=Zimbra/8.7.10_GA_1829;] security - cmd=Auth; account=x.xx2@xx.fr ; protocol=imap; error=authentication failed for [x.xx2@xx.fr], external LDAP auth failed, LDAP error:  - unable to ldap authenticate: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580;
2018-11-22 09:35:22,621 WARN  [ImapSSLServer-41] [ip=iplocaldemonserveurzimbra;oip=177.67.95.227;via=iplocaldemonserveurzimbra(nginx/1.7.1);ua=Zimbra/8.7.10_GA_1829;] security - cmd=Auth; account=x.xx3@xx.fr; protocol=imap; error=authentication failed for [x.xx3@xx.fr], external LDAP auth failed, LDAP error:  - unable to ldap authenticate: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580;
Merci de votre aide.
PS : Zimbra est derrière une passerelle PFsense

#2 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 351 messages
  • LocalisationPlanète Terre

Posté 22 novembre 2018 - 10:08

Bonjour,

pour désactiver il faut mettre à la valeur 0 l'attribut suivant zimbraInvalidLoginFilterMaxFailedLogin
Sinon mettre fail2ban au niveau du Zimbra.

Cordialement,

Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)9 81 76 22 90 / mail : guy.carre@capensis.fr
http://www.capensis.fr / http://www.canopsis.com / https://community.capensis.org


#3 TheActarus

TheActarus

    Nouveau membre

  • Membres
  • 2 messages

Posté 22 novembre 2018 - 11:27

Merci pour cette réponse. Je ne souhaite pas désactiver zimbraInvalidLoginFilterMaxFailedLogin, mais stopper au maximum les requêtes d'identification qui du coup "pourrissent" le réseau. A priori il faut que j'installe fail2ban si j'ai bien compris.  Étant sous Ubuntu 16.04, ce tuto est t'il valable ?
http://linux-sys-adm...s-step-by-step/
Merci d'avance




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)