Aller au contenu


piratage d'un utilisateur


  • Veuillez vous connecter pour répondre
1 réponse à ce sujet

#1 prefect2

prefect2

    Membre

  • Membres
  • 24 messages

Posté 07 mars 2019 - 10:16

Bonjour,
un utilisateur (de notre Zimbra 8.7) est cible d'attaques.

Il y a environ 3 mois, plusieurs milliers de mails ont été envoyés avec son adresse. Ça ressemble à un piratage classique par virus.
On a changé son mot de passe, fait une recherche antivirus sur son poste. Il utilise également d'autres postes que l'on ne maîtrise pas...

Mais depuis quelques jours, son compte "se" verrouille.
En fait, les comptes se verrouillent après 3 tentatives infructueuses d'authentification.
Quand je regarde le Daily mail report, tout en bas dans les warnings il y a (ci-dessous un extrait de deux jours différents) :

2239   SASL authentication failure: Password verification failed
  1111   unknown[141.98.80.15]: SASL PLAIN authentication failed: authen...
  1102   unknown[185.211.245.198]: SASL PLAIN authentication failed: aut...
  1100   hostname swim.diverseenvironment.com does not resolve to addres...
.
.
.



2620   SASL authentication failure: Password verification failed
  1669   unknown[141.98.80.15]: SASL PLAIN authentication failed: authen...
   874   unknown[185.211.245.198]: SASL PLAIN authentication failed: aut...
   874   hostname swim.diverseenvironment.com does not resolve to addres...
   864   unknown[36.56.147.200]: SASL LOGIN authentication failed: authe...
   461   hostname 190.213.40.120.broad.sm.fj.dynamic.163data.com.cn does...
   458   unknown[183.166.171.16]: SASL LOGIN authentication failed: auth...
.
.
.

Ce sont bien les IP utilisées par ceux qui tentent de pirater son compte ?
Si c'est le cas, je vais les ajouter dans une règle de blocage firewall.

Vous avez d'autres pistes pour approfondir ma recherche ?
Je vous remercie pour toute aide que vous pourrez m'apporter.

#2 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 306 messages
  • LocalisationBeaucaire - Gard

Posté 07 mars 2019 - 10:44

Il y a plusieurs threads sur le forum, il faut chercher autour de "SASL" et "fail2ban".

Le problème de ces attaques c'est que les IPs des attaquants changent beaucoup (merci tous les zombies).




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)