Fórum Root.cz
Hlavní témata => Server => Téma založeno: Jaroslav 11. 07. 2013, 12:54:06
-
Na serveru doslo k uhadnuti hesla k jednomu mailovemu uctu. Podle logu nekdo hadal hesla pres imap, coz se mu nakonec podarilo. Podivne ale je, ze utok dle logu prichazel z vlastni IP adresy, proto ani nezasahl fail2ban.
dovecot: imap-login: Login: user=<abc@abc.xy>, method=PLAIN, rip=88.99.100.200, lip=88.99.100.200, secured
kdy 88.99.100.200 predstavuje adresu serveru.
Podezrival jsem utok pres webmail, ale ten loguje neuspesne prihlaseni a nic nezaznamenal. Jde nejak zjistit vice podrobnosti, jak k tomu mohlo dojit?
Diky
-
No popravde ti odpoveď nenapíšem, keďže neviem čo všetko si overoval. Predpokladám že nepoužívaš niečo ako reverzné imap proxy, ktoré by bežalo na localhoste :).
Ale skúsim hádať:
1) Vieš o všetkých používateľoch ktorý majú na stroj konzolový prístup?
Skús pozieť kto všeko bol v tom čase prihlásený: 'last'
2) Aké iné služby ti tam bežia, nekorelujú ti napr. logy z inej službe s logmi v z dovecotu? Či náhodou ti niekto neovládol nejakú inú službu (e.g. apache) a tak získal lokálny shell.
Možností je veľa. Takisto je veľa možností na forenznú analýzu. Môžeš len dúfať že dotyčný nezískal práva roota a tie logy náhodou už nepoupratoval. Ja nie som veru žiadny expert a linuxu sa mi v poslednej dobe veľmi nedostáva.
Takže snáď na niečo prídeš sám, alebo ti niekto znalý poradí.
-
no ja taky nevim, ale nebyl tu nahodou nedavno nekde hezky clanek o nastaveni firewalu, kde myslim psali ze utocnik dokaze podvrhnout ip adresu, tzn se maj na firewalu zablokovat vsechny pristupy z venku z nesmyslnych privatnich adres.
ale jen strilim doporucuji clanek najit a prostudovat.