Aller au contenu


Tentative de login frauduleux


  • Ce sujet est fermé Ce sujet est fermé
8 réponses à ce sujet

#1 TheActarus

TheActarus

    Membre débutant

  • Membres
  • 6 messages

Posté 22 novembre 2018 - 09:40

Bonjour à tous,
Je me permets de poster cet appel au secours, car j'ai un souci sur mon serveur Zimbra OSE 8.7.10_GA_1829, (authentification via AD).
Depuis 2 jours, j'ai des tentatives incessantes de connexion venant de XXXX adresse IP extérieures. Du coup, cela m'a verrouillé des comptes (j'avais activé dans la COS un blocage si trop de tentative de connexions infructueuses). J'ai dû désactiver ce paramètre, sinon les utilisateurs n'avaient plus accès aux boites mails concernées par le blocage. J'ai suivi la procédure de filtrage Dos :https://wiki.zimbra.com/wiki/DoSFilter, et j'ai donc exécuté ces commandes, mais aucun changement :
zmprov mcf zimbraInvalidLoginFilterDelayInMinBetwnReqBeforeReinstating 25
zmprov mcf zimbraInvalidLoginFilterMaxFailedLogin 5
zmmailboxdctl restart
Je pense que comme les IPS essayant de se connecter sont différentes, il ne peux les bloquer vu qu"elles ne font pas suffisamment de requêtes. Voici des exemples extraits de /opt/zimbra/log/aaudit.log :
2018-11-22 09:35:21,618 WARN  [ImapSSLServer-38] [ip=iplocaldemonserveurzimbra;oip=179.255.176.11;via=iplocaldemonserveurzimbra(nginx/1.7.1);ua=Zimbra/8.7.10_GA_1829;] security - cmd=Auth; account=x.xx@xx.fr; protocol=imap; error=authentication failed for [x.xx@xx.fr], external LDAP auth failed, LDAP error:  - unable to ldap authenticate: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580;
2018-11-22 09:35:22,618 WARN  [ImapSSLServer-40] [ip=iplocaldemonserveurzimbra;oip=91.98.26.154;via=iplocaldemonserveurzimbra(nginx/1.7.1);ua=Zimbra/8.7.10_GA_1829;] security - cmd=Auth; account=x.xx2@xx.fr ; protocol=imap; error=authentication failed for [x.xx2@xx.fr], external LDAP auth failed, LDAP error:  - unable to ldap authenticate: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580;
2018-11-22 09:35:22,621 WARN  [ImapSSLServer-41] [ip=iplocaldemonserveurzimbra;oip=177.67.95.227;via=iplocaldemonserveurzimbra(nginx/1.7.1);ua=Zimbra/8.7.10_GA_1829;] security - cmd=Auth; account=x.xx3@xx.fr; protocol=imap; error=authentication failed for [x.xx3@xx.fr], external LDAP auth failed, LDAP error:  - unable to ldap authenticate: 80090308: LdapErr: DSID-0C09042F, comment: AcceptSecurityContext error, data 52e, v2580;
Merci de votre aide.
PS : Zimbra est derrière une passerelle PFsense

#2 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 514 messages
  • LocalisationPlanète Terre

Posté 22 novembre 2018 - 10:08

Bonjour,

pour désactiver il faut mettre à la valeur 0 l'attribut suivant zimbraInvalidLoginFilterMaxFailedLogin
Sinon mettre fail2ban au niveau du Zimbra.

Cordialement,
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr

#3 TheActarus

TheActarus

    Membre débutant

  • Membres
  • 6 messages

Posté 22 novembre 2018 - 11:27

Merci pour cette réponse. Je ne souhaite pas désactiver zimbraInvalidLoginFilterMaxFailedLogin, mais stopper au maximum les requêtes d'identification qui du coup "pourrissent" le réseau. A priori il faut que j'installe fail2ban si j'ai bien compris.  Étant sous Ubuntu 16.04, ce tuto est t'il valable ?
http://linux-sys-adm...s-step-by-step/
Merci d'avance

#4 Thouthou

Thouthou

    Membre avancé

  • Membres
  • 77 messages

Posté 28 décembre 2018 - 17:14

Voir le messageTheActarus, le 22 novembre 2018 - 09:40, dit :

PS : Zimbra est derrière une passerelle PFsense
C'est à ce niveau que tu dois bloquer les @IP
Zimbra v. 8.8 - Debian 9 Stretch

#5 biba biba

biba biba

    Nouveau membre

  • Membres
  • 3 messages

Posté 03 juillet 2019 - 15:35

Bonjour TheActarus,

Je veux limiter le nombre de tentatives de mes utilisateurs, j'ai le statut déverrouillé mais leurs comptes n'est pas bloqué? ils peuvent toujours accéder or ce n'est pas ce que je veux.
Comment avez vous fait pour bloquer leurs comptes?
merci

#6 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 514 messages
  • LocalisationPlanète Terre

Posté 03 juillet 2019 - 16:16

Bonjour,

le status "déverrouillé" correspond au status "locked" soit "verrouillé" : c'est une mauvaise traduction.
Quand le compte est verrouillé, l'utilisateur ne peux plus se connecter mais les mails sont toujours acheminés.

   Cordialement,
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr

#7 biba biba

biba biba

    Nouveau membre

  • Membres
  • 3 messages

Posté 04 juillet 2019 - 12:03

Bonjour,

Merci, pour ta réponse le problème chez moi c'est que le statut est "déverrouillé" mais l'utilisateur peut toujours se connecter s'il saisit le bon mot de passe

#8 Zimbra Guy

Zimbra Guy

    Zimbra Jedi

  • Modérateurs
  • 5 514 messages
  • LocalisationPlanète Terre

Posté 04 juillet 2019 - 13:40

Bizarre ... et en ligne de commande ? zimbraAccountStatus
Guy Carré, professionel certifié Zimbra, Contributeur Zimbra
tel : +33 (0)6 63 18 08 XX / mail : guy.carre+zimbrafr@libremail.fr

#9 biba biba

biba biba

    Nouveau membre

  • Membres
  • 3 messages

Posté 04 juillet 2019 - 14:04

Bonjour,

C'est réglé, j'avais mal paramétré zimbraPasswordLockoutDuration je l'avais mis à 1 minute ce qui permettait à l'utilisateur de se reconnecter dans la minute .

Merci beaucoup




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)