Resultaten 1 tot 7 van de 7
  1. #1
    Honderden smtpauth aanvallen
    Web hosting diensten
    4.639 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter

    Thumbs down Honderden smtpauth aanvallen

    Beste concullegae,

    Onze servers krijgen de laatste paar dagen veel smtpauth brute force login pogingen te verduren (rond de één per minuut).
    Nadat de firewall automatisch een IP-adres geblokkeerd heeft, neemt een ander IP-adres in de wereld het weer over. Dit gaan dan zo vijf keer door met hetzelfde e-mail adres en daarna wordt een ander e-mail adres geprobeerd.
    We hebben op onze servers ingesteld dat er alleen sterke wachtwoorden mogen worden gebruikt, dus zal het niet zo snel een correct wachtwoord opleveren, maar erg vervelend is het wel en vooral omdat er vrij weinig aan te doen lijkt.

    Nu vraag ik me af, doen jullie nog wat met die meldingen? Of hebben jullie misschien zelfs de SMTPauth "restricted" tot bijv. alleen Nederlandse en Belgische IP-adressen? Of zijn de foute loging pogingen nog ergens aan te melden?

    Ik hoor graag jullie input hierover.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

  2. #2
    Honderden smtpauth aanvallen
    geregistreerd gebruiker
    5.611 Berichten
    Ingeschreven
    20/02/05

    Locatie
    Haaksbergen / Amsterdam

    Post Thanks / Like
    Mentioned
    44 Post(s)
    Tagged
    0 Thread(s)
    168 Berichten zijn liked


    Naam: Mark Scholten
    Bedrijf: SinnerG / Stream Service
    Functie: Systeembeheerder
    URL: www.sinnerg.nl
    Registrar SIDN: ja
    KvK nummer: 34255993

    Het is mogelijk om de foute login pogingen te melden bij de netwerken waar het vandaan komt op het abuse adres. Voor de automatisering bestaat zelfs een RFC als ik het goed heb met een standaard e-mail er in beschreven zodat het aan de kant van de ontvanger ook te automatiseren is.

    Daarnaast is het mogelijk om te kijken hoeveel foute en goede login pogingen je ziet vanuit een IP range of AS en op basis daarvan automatisch te beslissen of je het in een firewall wilt blokkeren. Als alle klanten die je hebt in Nederland zijn kan ik mij voorstellen dat je connecties vanuit China blokkeert. En ik kan me situaties voorstellen waarbij je bepaalde netwerken gaat blokkeren voor smtpauth (voor alle of bepaalde accounts).
    Tools die handig zjn voor ISPs vind je natuurlijk bij Tools 4 ISP.



  3. #3
    Honderden smtpauth aanvallen
    administrator
    21.438 Berichten
    Ingeschreven
    17/12/01

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    62 Post(s)
    Tagged
    0 Thread(s)
    590 Berichten zijn liked


    Naam: Domenico Consoli
    Bedrijf: Webhostingtalk.nl
    Functie: Oprichter
    URL: webhostingtalk.nl
    Registrar SIDN: Ja
    KvK nummer: 51327317
    TrustCloud: domenico
    View domenicoconsoli's profile on LinkedIn

    Dit is al jaren zou en zal alleen nog maar gaan toenemen. Wij doen dus helemaal niets met die meldingen, ja rechtstreeks >/dev/null dus.
    En voor de rest wat Mark zegt.

  4. #4
    Honderden smtpauth aanvallen
    Web hosting diensten
    4.639 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter
    Als we alle meldingen handmatig door zouden moeten zetten, kunnen we hier een FT-er op zetten, dus dat lijkt me niet echt de bedoeling. We hebben dit in het begin wel heel even gedaan, maar dit zorgde er alleen maar voor dat we op een gegeven moment de e-mails onbestelbaar retour kregen; er werd dus bijna nooit wat mee gedaan.
    Op het moment hebben we smtpauth tijdelijk restricted tot NL en BE IP-adressen maar dat is uiteraard verre van ideaal en hier zouden we het liefst niet te lang mee doorgaan. Het gaat hier om "shared" servers dus accounts aan banden leggen is eigenlijk een no go.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

  5. #5
    Honderden smtpauth aanvallen
    geregistreerd gebruiker
    72 Berichten
    Ingeschreven
    18/07/02

    Locatie
    CyberBunker

    Post Thanks / Like
    Mentioned
    0 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    URL: http://www.cb3rob.org/
    Registrar SIDN: Ja
    KvK nummer: -
    Ondernemingsnummer: nvt
    View cb3rob's profile on LinkedIn

    limiet foute logins per dag per ip (10 ofzo) (platform-wide dus op al je daemons voor alle protocollen met dezelfde password lijst) die gereset wordt door een goeie poging en het verder vergeten en nooit meer naar kijken.

    echte mensen voeren mischien 5 keer een fout password achter elkaar in, eerder geconfigureerde clients doen dat niet.

    enige risico dat bestaat is dat ze een password van een user raden en data achterover drukken of zn site updaten ofzo.. met welk protocol ze dat doen is verder irrelevant, het password is doorgaans hetzelfde... en smtp pop3 en imap en ftp zijn altijd goeie candidaten daarvoor.

    dus gewoon de code wat bijwerken om daar wat beperkingen op te zetten en het verder vergeten.

    de bandbreedte en cpu cycles van zoiets zijn verder niet de moeite van het vermelden waard dus een echte 'aanval' is het niet eens.

    als het geen gerichte poging is om van een of meerdere users het password te 'raden' of 'tellen'.. dan is het verder ook niet de moeite waard om naar te kijken.

  6. #6
    Honderden smtpauth aanvallen
    BGP, K8S and Single Malt
    1.196 Berichten
    Ingeschreven
    08/07/03

    Locatie
    Gent, België

    Post Thanks / Like
    Mentioned
    3 Post(s)
    Tagged
    0 Thread(s)
    15 Berichten zijn liked


    Naam: Frank
    Ondernemingsnummer: 0671852484

    fail2ban. Helaas wel issues als klant dan paar keer fout wachtwoord ingeeft. Wel automatische unban na een paar minuten.

  7. #7
    Honderden smtpauth aanvallen
    Web hosting diensten
    4.639 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    5 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Thread Starter
    Even nog een update: De restrictie van NL en BE hebben we eigenlijk snel weer verwijderd, aangezien hierdoor Exim normale e-mails vertraagd ging afleveren. Na zo'n twee weken verdween de aanval net zo snel als die gekomen was en resteren alleen nog de reguliere "brute force" inlogpogingen i.p.v. een gecoördineerde aanval per e-mail adres.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2018 Webhostingtalk.nl.
Web Statistics