Dovecot - bruteforce z vlastni IP

[Jaroslav]

Na serveru doslo k uhadnuti hesla k jednomu mailovemu uctu. Podle logu nekdo hadal hesla pres imap, coz se mu nakonec podarilo. Podivne ale je, ze utok dle logu prichazel z vlastni IP adresy, proto ani nezasahl fail2ban.

dovecot: imap-login: Login: user=<abc@abc.xy>, method=PLAIN, rip=88.99.100.200, lip=88.99.100.200, secured
kdy 88.99.100.200 predstavuje adresu serveru.

Podezrival jsem utok pres webmail, ale ten loguje neuspesne prihlaseni a nic nezaznamenal. Jde nejak zjistit vice podrobnosti, jak k tomu mohlo dojit?

Diky

[Reklama]

[ps]

No popravde ti odpoveď nenapíšem, keďže neviem čo všetko si overoval. Predpokladám že nepoužívaš niečo ako reverzné imap proxy, ktoré by bežalo na localhoste .
Ale skúsim hádať:
1) Vieš o všetkých používateľoch ktorý majú na stroj konzolový prístup?
Skús pozieť kto všeko bol v tom čase prihlásený: 'last'
2) Aké iné služby ti tam bežia, nekorelujú ti napr. logy z inej službe s logmi v z dovecotu? Či náhodou ti niekto neovládol nejakú inú službu (e.g. apache) a tak získal lokálny shell.
Možností je veľa. Takisto je veľa možností na forenznú analýzu. Môžeš len dúfať že dotyčný nezískal práva roota a tie logy náhodou už nepoupratoval. Ja nie som veru žiadny expert a linuxu sa mi v poslednej dobe veľmi nedostáva.
Takže snáď na niečo prídeš sám, alebo ti niekto znalý poradí.

[michal]

no ja taky nevim, ale nebyl tu nahodou nedavno nekde hezky clanek o nastaveni firewalu, kde myslim psali ze utocnik dokaze podvrhnout ip adresu, tzn se maj na firewalu zablokovat vsechny pristupy z venku z nesmyslnych privatnich adres.

ale jen strilim doporucuji clanek najit a prostudovat.