Tentatives De Piratage Sans Blocage D'ip

[catimimi]

Bonjour,

Je découvre le contenu suivant dans mon fichier : /var/log/messages

Aug 18 18:23:50 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

Aug 18 18:23:53 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

........(idem pendant 30 mn)

Aug 18 18:53:17 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

Aug 18 18:53:21 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

Aug 18 18:53:29 dovecot: auth-worker(default): pam(guest,82.243.132.145): pam_acct_mgmt() failed: Permission denied

Aug 18 18:55:44 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

Aug 18 18:55:48 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

........( idem pendant 22 mn)

Aug 19 12:17:07 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

Aug 19 12:17:10 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

Aug 20 17:14:57 postfix/smtpd[15669]: warning: Connection concurrency limit exceeded: 51 from mail.presbyhomesinc.org[168.215.117.210] for service smtp

Aug 20 17:14:57 postfix/smtpd[15670]: warning: Connection concurrency limit exceeded: 51 from mail.presbyhomesinc.org[168.215.117.210] for service smtp

.............(répété une vingtaine de fois)

Aug 20 17:14:57 postfix/smtpd[15674]: warning: Connection concurrency limit exceeded: 51 from mail.presbyhomesinc.org[168.215.117.210] for service smtp

Aug 21 00:00:02 ntpdate: Sync with time server 88.191.120.99 offset 0.656589 sec.

Aug 21 16:28:51 postfix/smtpd[20704]: warning: non-SMTP command from ns206479.ovh.net[94.23.52.33]: GET / HTTP/1.1

Aug 21 22:53:28 postfix/smtpd[22082]: warning: non-SMTP command from vps378.zoner-asiakas.fi[84.34.190.228]: GET / HTTP/1.1

Aug 22 23:03:57 postfix/smtpd[27774]: warning: 115.81.18.86: hostname 115-81-18-86.taiwanmobile.net verification failed: Name or service not known

Aug 22 23:03:59 postfix/smtpd[27774]: warning: 115.81.18.86: hostname 115-81-18-86.taiwanmobile.net verification failed: Name or service not known

Manifestement on a voulu s'attaquer à Mail Station, sans succès cette fois mais jusqu'à quand ?

Les adresses IP n'ont pas été bloquées !

Les lignes en rouge m'inquiètent.

J'ai bloqué le port smtp, mais cela ne règlera pas le problème avec dovecot. Je ne puis, sauf arrêter Mail Station bloquer le port POP3.

J'attends les résultats de l'analyse des experts et leurs suggestions.

Je prècise que je n'ai eu aucun message système.

Cordialement.

Michel.

[cricx]

Bonjour,

Je découvre le contenu suivant dans mon fichier : /var/log/messages

Aug 18 18:23:50 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

Aug 18 18:23:53 dovecot-auth: pam_unix(dovecot:auth): check pass; user unknown

........(idem pendant 30 mn)

attaque classique... difficile de l'éviter, mais il faut des noms d'utilisateurs non triviaux et des mots de passe solides

Aug 18 18:53:29 dovecot: auth-worker(default): pam(guest,82.243.132.145): pam_acct_mgmt() failed: Permission denied

là l'utilisateur existe, mais l'authentification n'a pas abouti. Pas trop de risque, là ! La connexion provient d'une freebox.

Aug 20 17:14:57 postfix/smtpd[15669]: warning: Connection concurrency limit exceeded: 51 from mail.presbyhomesinc.org[168.215.117.210] for service smtp

des essais nombreux de se connecter à ton serveur smtp, les connexions sont limitées en nombre de manière à éviter un déni de service. Par contre, pas d'erreur d'authentification, est-tu sûr que tu as activé smtpauth ?

Aug 21 16:28:51 postfix/smtpd[20704]: warning: non-SMTP command from ns206479.ovh.net[94.23.52.33]: GET / HTTP/1.1

Aug 21 22:53:28 postfix/smtpd[22082]: warning: non-SMTP command from vps378.zoner-asiakas.fi[84.34.190.228]: GET / HTTP/1.1

les robots ne sont pas très futés, d'envoyer des commande http sur un serveur smtp ! mais ça encombre les logs !

Aug 22 23:03:57 postfix/smtpd[27774]: warning: 115.81.18.86: hostname 115-81-18-86.taiwanmobile.net verification failed: Name or service not known

vérification faite par postfix :

$ host 115.81.18.86

86.18.81.115.in-addr.arpa domain name pointer 115-81-18-86.taiwanmobile.net.

$ host 115-81-18-86.taiwanmobile.net

Host 115-81-18-86.taiwanmobile.net not found: 3(NXDOMAIN)

c'est juste une info...

Les adresses IP n'ont pas été bloquées !

Manifestement on a voulu s'attaquer à Mail Station, sans succès cette fois mais jusqu'à quand ?

tant que ton serveur est bien configuré, tu n'as pas trop de risques...

les adresses ip ne sont bloquées que pour les services lancés par inetd, je crois !

J'ai bloqué le port smtp, mais cela ne règlera pas le problème avec dovecot. Je ne puis, sauf arrêter Mail Station bloquer le port POP3.

en bloquant le port smtp entrant, tu ne peux plus recevoir de mails sur ton syno (du moins s'il gère les mails de ton domaine). Pour ce qui est de pop3, évite pop et prend plutôt imap (le protocole est plus évolué) mais surtout utilise la version sécurisée (pop3s et imaps)

[catimimi]

Bonjour,

Merci CricX, cela me rassure.

Pour le smtp, je n'ai pas de serveur configuré (donc l'autentification n'était pas active), j'utilise le smtp de Gandi qui gère mes domaines. Ils n'ont donc rien pu faire et surtout pas se servir du serveur pour envoyer des spams. Mais c'était une erreur de laisser le port ouvert sur le routeur (scorie d'une configuration antérieure).

Pour le POP, je vais envisager, mais cela change les configurations de tous les "clients" qui utilisent mon "relais" MailStation (une dizaine de PC ou phones), donc je suis un peu réluctant.

Merci encore.

Cordialement.

Michel.