Consulta sobre ataques de fuerza bruta

Post Reply
pablokds
Posts: 2
Joined: Sun Oct 21, 2018 4:35 pm

Consulta sobre ataques de fuerza bruta

Post by pablokds »

saludos, estos últimos días estoy teniendo muchos ataques a mis cuentas provocando que se bloqueen, todos los días tengo que volver a activar varias cuentas, tengo corriendo un fail2ban el cual funciona ya que bloquea la ip que intento el ataque, pero el tema es que son muchas ip que atacan las cuentas así que siempre se termina bloqueando la cuenta independiente de que el fail2ban haga su trabajo, revisando los log vi que los ataques son por el puerto imap y veo que llegan ataques tratando de loguearse con nombres al azar pero lo que me extraña es como saben las cuentas reales que tiene mi servidor, sera que tengo alguna brecha abierta por donde se están metiendo a leer mi lista de cuentas? tengo corriendo zimbra 8,6
comsis
Posts: 1
Joined: Mon Nov 26, 2018 4:58 pm

Re: Consulta sobre ataques de fuerza bruta

Post by comsis »

Hola Pablo.
Has podido encontrar el problema??
Nos pasa lo mismo y las cuentas se bloquean por cantidad de inicios de sesión.
En el log aparece como si la intentaran vulnerar desde el mismo servidor de correo.
Gracias por su valioso aporte

Saludos desde Colombia!!

LUIS MORALES
pablokds
Posts: 2
Joined: Sun Oct 21, 2018 4:35 pm

Re: Consulta sobre ataques de fuerza bruta

Post by pablokds »

En realidad no pude encontrar información sobre eso, así que solo le puse el pecho a las balas jaja, osea en la consola de zimbra a las cuentas de correo bloqueadas, que por cierto siempre eran las mismas, les subí el limite de bloqueo entre 7 a 10 intentos y en el fail2ban el filtro dovecot lo deje en maximo 0 intentos para que mueran de inmediato las ip y bantime -1 osea baneo permanente, con eso los ataques siguieron hasta que se le acabaron las balas y cesaron los ataques, en total fueron como 2800 ip baneadas, de ves en cuando vuelve una oleada pero no mas de 100 o 200 ip que se bloquean rápido.

Cada cierto tiempo filtro el archivo de log del fail2ban y exporto todas esas ip a una lista permanente en mi firewall para cuando tenga que reiniciar el servidor.

[dovecot]

enabled = true
port = smtp,ssmtp,submission,imap2,imap3,imap,imaps,pop3,pop3s
filter = dovecot
logpath = /opt/zimbra/log/mailbox.log
bantime = -1
maxretry = 0


Espero que te ayude en algo :roll:
Saludos
chelinux
Posts: 29
Joined: Sat Jul 15, 2017 5:02 pm

Re: Consulta sobre ataques de fuerza bruta

Post by chelinux »

Hola puedes implementar un firewall que se llama csf se acopla muy bien con zimbra con este te olvidas de fail2ban ya que tiene todo un sistema completo de bloqueo de ips de forma definitiva o por tiempo determinado si así lo configuras, yo lo uso en todos mis servidores con zimbra y me va super bien.
komatsu002
Posts: 2
Joined: Tue May 07, 2019 6:41 pm

Re: Consulta sobre ataques de fuerza bruta

Post by komatsu002 »

Hola Compañeros del foro:

Tengo el mismo problema con una cuenta que esta siendo atacada, ya cambie el password y eso no tiene problemas, sin embargo, el problema son los logs que esta generando los intentos fallidos de conexión, por lo que tuve que quitar la proteccion de intentos fallidos, ya que la cuenta debe de estar disponible ya que es de un usuario activo.

May 7 09:11:57 mx saslauthd[11491]: zmpost: url='https://mx.miserver.com:7073/service/admin/soap/' returned buffer->data='<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope ... r><context xmlns="urn:zimbra"/></soap:Header><soap:Body><soap:Fault><soap:Code><soap:Value>soap:Sender</soap:Value></soap:Code><soap:Reason><soap:Text>authentication failed for [cuenta@conproblemas.com]</soap:Text></soap:Reason><soap:Detail><Error xmlns="urn:zimbra"><Code>account.AUTH_FAILED</Code><Trace>qtp928294079-15541:1557241917666:0aad41b08750628f</Trace></Error></soap:Detail></soap:Fault></soap:Body></soap:Envelope>', hti->error=''
May 7 09:11:57 mx saslauthd[11491]: auth_zimbra: cuenta@conproblemas.com auth failed: authentication failed for [cuenta@conproblemas.com]
May 7 09:11:57 mx saslauthd[11491]: do_auth : auth failure: [cuenta@conproblemas.com] [service=smtp] [realm=conproblemas.com] [mech=zimbra] [reason=Unknown]

Tengo el fail2ban trabajando, y en general funciona bien, pero no logro identificar desde dónde se esta queriendo conectar y de dónde viene ese ataque....esto comenzo con mi server cuando aun tenia la version 8.6.0, realice el upgrade a 8.8.12 y el problema continua....Gracias por su ayuda.
komatsu002
Posts: 2
Joined: Tue May 07, 2019 6:41 pm

Re: Consulta sobre ataques de fuerza bruta

Post by komatsu002 »

tengo el mismo problema...encontraste una solución?
txerra
Posts: 30
Joined: Sat Sep 13, 2014 3:11 am

Re: Consulta sobre ataques de fuerza bruta

Post by txerra »

Hola

Entiendo que no tienes implementado: Postscreen

https://wiki.zimbra.com/wiki/Zimbra_Col ... Postscreen


Suerte
Un saludo
Last edited by txerra on Wed May 15, 2019 10:38 am, edited 1 time in total.
joaovictor
Posts: 1
Joined: Wed May 08, 2019 1:52 pm

Re: Consulta sobre ataques de fuerza bruta

Post by joaovictor »

Olá amigos, venho compartilhar com vocês a possível solução para os ataques... Aconteceu o mesmo em minha empresa, eu consegui resolver o problema desativando o protocolo IMAP nas contas atacadas. Já que é um ambiente corporativo não tem a necessidade de deixar os usuários conectarem pelo celular ou outros dispositivos.

Solução: Na pagina inicial do "Zimbra Administration" -> Gerenciar -> Clicar com o botão direito do mouse em cima da conta desejada -> Editar -> Recursos -> Em recursos de e-mail desativar a opção "Acesso ao IMAP".

Pronto, feito isto basta você monitorar se irá causar bloqueio. Essa solução no meu caso ja resolveu o meu problema, espero ter ajudado alguém!


At.te João Victor de Souza
apoeti
Posts: 2
Joined: Tue Sep 25, 2018 11:56 am

Re: Consulta sobre ataques de fuerza bruta

Post by apoeti »

Hola en mi caso localicé el IP dentro del archivo # /var/log/zimbra.log
Lo Indica de esta manera
Apr 29 09:38:38 nombre_del_equipo saslauthd[20886]: auth_zimbra: nombre_de_usuario auth failed: authentication failed for [nombre_de_usuario]
Apr 29 09:38:38 nombre_del_equipo saslauthd[20886]: do_auth : auth failure: [user=nombre_de_usuario] [service=smtp] [realm=] [mech=zimbra] [reason=Unknown]
Apr 29 09:38:38 nombre_del_equipo postfix/smtpd[10712]: warning: unknown[IP_que_solicita_la_conexión]: SASL LOGIN authentication failed: authentication failure
Post Reply