从昨天(早上 7 点)开始,我们的 POP 服务器就遭受了字典攻击:这是我在 /var/log/mail.log 中发现的内容:
Mar 26 10:31:36 serv pop3d: LOGIN FAILED, user=monday, ip=[::ffff:91.121.**.***]
Mar 26 10:31:41 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***]
Mar 26 10:31:41 serv pop3d: Connection, ip=[::ffff:91.121.**.***]
Mar 26 10:31:41 serv pop3d: LOGIN FAILED, user=monica, ip=[::ffff:91.121.**.***]
Mar 26 10:31:46 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***]
Mar 26 10:31:46 serv pop3d: Connection, ip=[::ffff:91.121.**.***]
Mar 26 10:31:46 serv pop3d: LOGIN FAILED, user=monroe, ip=[::ffff:91.121.**.***]
Mar 26 10:31:51 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***]
Mar 26 10:31:51 serv pop3d: Connection, ip=[::ffff:91.121.**.***]
Mar 26 10:31:51 serv pop3d: LOGIN FAILED, user=montana, ip=[::ffff:91.121.**.***]
Mar 26 10:31:56 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***]
该 IP 指向代理服务器。我们警告他们,他们的安全漏洞已经破解,他们回答说他们已经意识到了这一点,并且正在努力解决。
但从昨天晚上 22 点开始,IP 发生了变化,新的 IP 没有任何作用。该 IP 似乎被一些服务器列入黑名单(TornevallNET、Spamhaus 和 CBL_AbuseAt)。
之前是每 5 秒尝试一次,现在是每秒尝试一次:
Mar 27 00:00:57 serv pop3d: Connection, ip=[::ffff:176.61.***.***]
Mar 27 00:00:58 serv pop3d: LOGIN FAILED, user=info, ip=[::ffff:176.61.***.***]
Mar 27 00:00:59 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.***
Mar 27 00:00:59 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.***
Mar 27 00:01:00 serv pop3d: LOGOUT, ip=[::ffff:176.61.***.***]
Mar 27 00:01:00 serv pop3d: Disconnected, ip=[::ffff:176.61.***.***]
Mar 27 00:01:01 serv pop3d: LOGOUT, ip=[::ffff:176.61.***.***]
Mar 27 00:01:01 serv pop3d: Disconnected, ip=[::ffff:176.61.***.***]
Mar 27 00:01:01 serv pop3d: Connection, ip=[::ffff:176.61.***.***]
Mar 27 00:01:01 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.***
然后他们在 imap 上开始同样的事情:
Mar 27 00:07:08 serv imapd: Connection, ip=[::ffff:176.61.***.***]
Mar 27 00:07:09 serv imapd: LOGIN FAILED, user=web, ip=[::ffff:176.61.***.***]
Mar 27 00:07:09 serv imapd: Disconnected, ip=[::ffff:176.61.***.***], time=6
Mar 27 00:07:09 serv imapd: Connection, ip=[::ffff:176.61.***.***]
25 分钟后似乎停止了,IP 再次发生变化,现在,它的:
Mar 27 10:20:01 serv postfix/smtpd[10390]: connect from localhost[127.0.0.1]
Mar 27 10:20:01 serv postfix/smtpd[10390]: lost connection after CONNECT from localhost[127.0.0.1]
Mar 27 10:20:01 serv postfix/smtpd[10390]: disconnect from localhost[127.0.0.1]
Mar 27 10:22:33 serv imapd: Connection, ip=[::ffff:88.190.***.**]
Mar 27 10:22:33 serv imapd: Disconnected, ip=[::ffff:88.190.***.**], time=0
为什么我们的服务器上仍然有来自陌生 IP 的连接?
在我们的网络生产服务器上,我们不使用 POP 或 IMAP,而是使用带有 postfix 的 SMTP。中继在我们的 DNS 提供商上。
发生了什么 ?
提前感谢并且抱歉我的英语不好。
答案1
抱歉,我需要添加答案,因为我仍然无法添加评论。但无论你做什么,你总会有另一个 IP 地址向你发送垃圾邮件并对你进行暴力破解。最好的办法是阻止他们,并希望你没有使用 1234 作为密码的用户管理员。我的 Imap 服务器也经历过这种情况。我理解你的痛苦。但正如迈克尔所说,欢迎来到互联网。干杯
答案2
系统受到威胁的风险完全取决于您制定的安全策略以及这些策略对抗攻击者的有效性。
如果您有强密码策略、帐户锁定(在一定次数的登录尝试失败后)、源跟踪(即锁定向您的服务器发送大量失败的身份验证请求的 IP 地址)和审核,那么您就不必担心太多。
另一方面,如果您没有采取这些措施,现在关闭系统可能为时已晚,您应该评估这可能会给您的业务带来的风险和损害。如果风险太高,请将系统脱机,保护好它,然后再重新插入。保护未受损害的系统总是比恢复受损害的系统更容易。
答案3
您是否考虑过使用 IMAP/POP3 的安全版本?虽然它不会阻止此类尝试,但由于它们位于 110 和 143 以外的不同端口上,因此它可能会“有帮助”。
除非您拥有庞大的用户群,否则将端口 110 和 143 移动到一些非标准端口号可能更简单。老实说,这是一个糟糕的解决方案,因为它没有解决任何安全问题。但它可能适用于小团体,除非您有一支庞大的团队可以四处走动并重新配置所有最终用户邮件客户端。
或者,如果您知道用户的连接位置,则将 POP3 和 IMAP 的连接限制在这些子网内。