Aller au contenu


Compte bloqué... hacker ?


  • Veuillez vous connecter pour répondre
9 réponses à ce sujet

#1 SB5

SB5

    Membre actif

  • Membres
  • PipPip
  • 126 messages
  • LocalisationSwitzerland

Posté 15 juillet 2009 - 07:06

Bonjour
J'ai un petit conseil à vous demander... Depuis 3 ou 4 jours j'ai mon compte personnel ainsi que le compte admin de mon server qui se vont bloquer (le statut passe en lockout) de temps à autre. Comme j'ai changé dans les COS les paramètres de verrouillage automatique après plusieurs tentatives de mot de passe invalide à 3 au lieu de 5 (paramètres par défaut), je soupçonne un pirate de tenter de forcer mon mot de passe... le blocage c'est produit en fin de semaine passé, puis à nouveau 3 fois lundi, puis hier soir...

Pour s'assurer que c'est bien la source de mon problème, y a-t-il une façon de retrouver les tentatives de login échouées ainsi que le moment où un compte passe en lockout dans les logs ? Si oui quel log ?

Et si ça se confirme, y a-t-il un moyen simple de banir une adresse ip ?

Merci d'avance pour votre aide.
www.luvioweb.ch

ZCS NE 8.6.0 Ubuntu 12.04
ZCS OSE 8.6.0 Ubuntu 14.04
sur des VM Gandi
Client ZCS NE 8.x chez Klug

#2 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 161 messages
  • LocalisationBeaucaire - Gard

Posté 15 juillet 2009 - 07:41

/opt/zimbra/log/audit.log

Tout est dedans (les heures, les IP, les auth réussies et les auth ratées).

#3 SB5

SB5

    Membre actif

  • Membres
  • PipPip
  • 126 messages
  • LocalisationSwitzerland

Posté 15 juillet 2009 - 07:54

Merci beaucoup!
Ce sont donc bien des vagues d'attaques en POP... par contre chaque jour depuis une autre IP.
Connaissez-vous une parade à ça ? Un moyen de bloquer automatiquement l'IP d'où vient l'attaque plutot que le compte attaqué ?

Merci encore
Meilleures salutations
www.luvioweb.ch

ZCS NE 8.6.0 Ubuntu 12.04
ZCS OSE 8.6.0 Ubuntu 14.04
sur des VM Gandi
Client ZCS NE 8.x chez Klug

#4 androme

androme

    Modérateur Grognon

  • Modérateurs
  • 1 795 messages
  • LocalisationArles

Posté 15 juillet 2009 - 08:40

Changer les ports ?
7.1.3 NE   : IBM 3350 -> SAN FC (SLES 11 x64 sous vSphere) 750 Users (~ 1000 en fin de migration)
7.1.3 OSE : IBM 3350 -> SAN FC  (SLES 11 x64 sous vSphere)750 Users

#5 Pro21

Pro21

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 522 messages

Posté 15 juillet 2009 - 09:40

pop3s, avec un peu de chance son outil de brute force ne gère pas le TLS

Modifié par Pro21, 15 juillet 2009 - 09:41.

Zimbra 5.0.16 O.S.E/NE -> Zimbra 8 O.S.E/NE sur RHEL & CentOS
Serveurs physiques & Serveurs virtuels

#6 SB5

SB5

    Membre actif

  • Membres
  • PipPip
  • 126 messages
  • LocalisationSwitzerland

Posté 20 juillet 2009 - 10:31

Merci pour vos réponses mais ca me dérange un peu d'obliger les utilisateurs POP de changer leur config...

Mais y'a-t-il un moyen de bloquer une IP dans zimbra ?
www.luvioweb.ch

ZCS NE 8.6.0 Ubuntu 12.04
ZCS OSE 8.6.0 Ubuntu 14.04
sur des VM Gandi
Client ZCS NE 8.x chez Klug

#7 androme

androme

    Modérateur Grognon

  • Modérateurs
  • 1 795 messages
  • LocalisationArles

Posté 20 juillet 2009 - 10:42

Bah si c'est une ip dynamique c'est pas très utile de bloquer un ip ad vitam eternam.
7.1.3 NE   : IBM 3350 -> SAN FC (SLES 11 x64 sous vSphere) 750 Users (~ 1000 en fin de migration)
7.1.3 OSE : IBM 3350 -> SAN FC  (SLES 11 x64 sous vSphere)750 Users

#8 SB5

SB5

    Membre actif

  • Membres
  • PipPip
  • 126 messages
  • LocalisationSwitzerland

Posté 20 juillet 2009 - 10:47

Non pas définitivement mais s'il y avait un moyen de bloquer l'ip pendant une certaine durée et pas le compte attaqué ne serait-ce pas une si mauvaise idée ?

Et aujourd'hui c'est 124.42.91.118 qui a essayé de m'attaquer et qui semble être un server chinois donc probablement une ip fixe... Sur leur page web le contact au téléphone c'est 0123456789 et par email 12345@123.com On peut imaginer que l'accès root doit avoir un mot de passe du même genre et facilement comprendre comment un hacker peut l'utiliser pour faire des attaques :-S
www.luvioweb.ch

ZCS NE 8.6.0 Ubuntu 12.04
ZCS OSE 8.6.0 Ubuntu 14.04
sur des VM Gandi
Client ZCS NE 8.x chez Klug

#9 Klug

Klug

    Zimbra Jedi

  • Membres
  • PipPipPipPip
  • 10 161 messages
  • LocalisationBeaucaire - Gard

Posté 20 juillet 2009 - 11:04

Mouais.
C'est aussi un numéro de téléphone et une adresse email que tu vas utiliser si tu veux rester "anonyme" dans le whois...

#10 thbtst

thbtst

    Membre

  • Membres
  • 19 messages

Posté 11 août 2017 - 18:09

Bonjour
Nous rencontrons régulièrement ce mème problème : les comptes sont verrouillés après plusieurs mot de passe erronés selon la stratégie de verrouillage mise en place.
La problématique est simple : à partir du moment où on possède une adresse mail (notamment l'adresse principale du domaine type contact....) une personne malveillante peut essayer d'ouvrir la BAL. Compte tenu que l'identifiant est identique à l'adresse mail, la personne peut essayer de hacker le compte. La stratégie de verrouillage s'active et le compte est alors verrouillé.
S'agissant des comptes principaux, le verrouillage des comptes est très pénalisant : il faut le déverrouiller rapidement par l'administrateur.
Idéalement, il aurait été très bien que l'identifiant puisse être différent de l'adresse mail. Cela aurait résolu le problème. La messagerie ZARAFA le propose par défaut me semble-t-il.
En écrivant ce message, je me demande s'il ne conviendrait pas de supprimer le verrouillage automatique pour les comptes très sollicités et de saisir un mot de passe très long et très complexe ?! De cette manière, le compte ne serait plus verrouiller et la complexité du mot de passe pourrait sans doute suffire à le protéger ?
Qu'en pensez-vous ?
Merci
Cordialement
Zimbra OSE 8.7.0_GA_1659.FOSS - CentOS Linux release 6.4 (Final) - 64bits - Processeur doubleur coeur 3 Ghz - 8 Go de Ram - 1 To d'espace disque Raid 1 - Environ 200 utilisateurs




0 utilisateur(s) li(sen)t ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)