Consulta sobre ataques de fuerza bruta

pablokds
Posts: 2
Joined: Sun Oct 21, 2018 4:35 pm

Consulta sobre ataques de fuerza bruta

Postby pablokds » Sun Oct 21, 2018 4:44 pm

saludos, estos últimos días estoy teniendo muchos ataques a mis cuentas provocando que se bloqueen, todos los días tengo que volver a activar varias cuentas, tengo corriendo un fail2ban el cual funciona ya que bloquea la ip que intento el ataque, pero el tema es que son muchas ip que atacan las cuentas así que siempre se termina bloqueando la cuenta independiente de que el fail2ban haga su trabajo, revisando los log vi que los ataques son por el puerto imap y veo que llegan ataques tratando de loguearse con nombres al azar pero lo que me extraña es como saben las cuentas reales que tiene mi servidor, sera que tengo alguna brecha abierta por donde se están metiendo a leer mi lista de cuentas? tengo corriendo zimbra 8,6


comsis
Posts: 1
Joined: Mon Nov 26, 2018 4:58 pm

Re: Consulta sobre ataques de fuerza bruta

Postby comsis » Mon Nov 26, 2018 5:01 pm

Hola Pablo.
Has podido encontrar el problema??
Nos pasa lo mismo y las cuentas se bloquean por cantidad de inicios de sesión.
En el log aparece como si la intentaran vulnerar desde el mismo servidor de correo.
Gracias por su valioso aporte

Saludos desde Colombia!!

LUIS MORALES
pablokds
Posts: 2
Joined: Sun Oct 21, 2018 4:35 pm

Re: Consulta sobre ataques de fuerza bruta

Postby pablokds » Tue Nov 27, 2018 12:43 pm

En realidad no pude encontrar información sobre eso, así que solo le puse el pecho a las balas jaja, osea en la consola de zimbra a las cuentas de correo bloqueadas, que por cierto siempre eran las mismas, les subí el limite de bloqueo entre 7 a 10 intentos y en el fail2ban el filtro dovecot lo deje en maximo 0 intentos para que mueran de inmediato las ip y bantime -1 osea baneo permanente, con eso los ataques siguieron hasta que se le acabaron las balas y cesaron los ataques, en total fueron como 2800 ip baneadas, de ves en cuando vuelve una oleada pero no mas de 100 o 200 ip que se bloquean rápido.

Cada cierto tiempo filtro el archivo de log del fail2ban y exporto todas esas ip a una lista permanente en mi firewall para cuando tenga que reiniciar el servidor.

[dovecot]

enabled = true
port = smtp,ssmtp,submission,imap2,imap3,imap,imaps,pop3,pop3s
filter = dovecot
logpath = /opt/zimbra/log/mailbox.log
bantime = -1
maxretry = 0


Espero que te ayude en algo :roll:
Saludos
chelinux
Posts: 19
Joined: Sat Jul 15, 2017 5:02 pm

Re: Consulta sobre ataques de fuerza bruta

Postby chelinux » Wed Dec 05, 2018 6:05 pm

Hola puedes implementar un firewall que se llama csf se acopla muy bien con zimbra con este te olvidas de fail2ban ya que tiene todo un sistema completo de bloqueo de ips de forma definitiva o por tiempo determinado si así lo configuras, yo lo uso en todos mis servidores con zimbra y me va super bien.

Return to “Spanish”

Who is online

Users browsing this forum: No registered users and 2 guests