Aller au contenu


piratage d'un utilisateur


  • Veuillez vous connecter pour répondre
3 réponses à ce sujet

#1 prefect2

prefect2

    Membre

  • Membres
  • 24 messages

Posté 07 mars 2019 - 10:16

Bonjour,
un utilisateur (de notre Zimbra 8.7) est cible d'attaques.

Il y a environ 3 mois, plusieurs milliers de mails ont été envoyés avec son adresse. Ça ressemble à un piratage classique par virus.
On a changé son mot de passe, fait une recherche antivirus sur son poste. Il utilise également d'autres postes que l'on ne maîtrise pas...

Mais depuis quelques jours, son compte "se" verrouille.
En fait, les comptes se verrouillent après 3 tentatives infructueuses d'authentification.
Quand je regarde le Daily mail report, tout en bas dans les warnings il y a (ci-dessous un extrait de deux jours différents) :

2239   SASL authentication failure: Password verification failed
  1111   unknown[141.98.80.15]: SASL PLAIN authentication failed: authen...
  1102   unknown[185.211.245.198]: SASL PLAIN authentication failed: aut...
  1100   hostname swim.diverseenvironment.com does not resolve to addres...
.
.
.



2620   SASL authentication failure: Password verification failed
  1669   unknown[141.98.80.15]: SASL PLAIN authentication failed: authen...
   874   unknown[185.211.245.198]: SASL PLAIN authentication failed: aut...
   874   hostname swim.diverseenvironment.com does not resolve to addres...
   864   unknown[36.56.147.200]: SASL LOGIN authentication failed: authe...
   461   hostname 190.213.40.120.broad.sm.fj.dynamic.163data.com.cn does...
   458   unknown[183.166.171.16]: SASL LOGIN authentication failed: auth...
.
.
.

Ce sont bien les IP utilisées par ceux qui tentent de pirater son compte ?
Si c'est le cas, je vais les ajouter dans une règle de blocage firewall.

Vous avez d'autres pistes pour approfondir ma recherche ?
Je vous remercie pour toute aide que vous pourrez m'apporter.

#2 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 375 messages
  • LocalisationBeaucaire - Gard

Posté 07 mars 2019 - 10:44

Il y a plusieurs threads sur le forum, il faut chercher autour de "SASL" et "fail2ban".

Le problème de ces attaques c'est que les IPs des attaquants changent beaucoup (merci tous les zombies).

#3 kiterfoo

kiterfoo

    Membre avancé

  • Membres
  • 64 messages

Posté 17 avril 2019 - 10:05

Perso, j'ai mi en place Fail2Ban avec des regexp faite à partir de mes fichiers de log, si plusieurs ligne d'attaque reviennent dans les log je les ajoute dans mes règles, et c'est magique, plus de compte bloqué, moins de trafic ...
Fred
Release 8.5.1_GA  CentOS6_64 NETWORK edition.

#4 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 375 messages
  • LocalisationBeaucaire - Gard

Posté 17 avril 2019 - 10:25

Quelques liens en vrac sur le sujet.
https://forums.zimbr...pic.php?t=60631
https://www.babash.f...ue-brute-force/




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)