Page 1 of 1

Consulta sobre ataques de fuerza bruta

Posted: Sun Oct 21, 2018 4:44 pm
by pablokds
saludos, estos últimos días estoy teniendo muchos ataques a mis cuentas provocando que se bloqueen, todos los días tengo que volver a activar varias cuentas, tengo corriendo un fail2ban el cual funciona ya que bloquea la ip que intento el ataque, pero el tema es que son muchas ip que atacan las cuentas así que siempre se termina bloqueando la cuenta independiente de que el fail2ban haga su trabajo, revisando los log vi que los ataques son por el puerto imap y veo que llegan ataques tratando de loguearse con nombres al azar pero lo que me extraña es como saben las cuentas reales que tiene mi servidor, sera que tengo alguna brecha abierta por donde se están metiendo a leer mi lista de cuentas? tengo corriendo zimbra 8,6

Re: Consulta sobre ataques de fuerza bruta

Posted: Mon Nov 26, 2018 5:01 pm
by comsis
Hola Pablo.
Has podido encontrar el problema??
Nos pasa lo mismo y las cuentas se bloquean por cantidad de inicios de sesión.
En el log aparece como si la intentaran vulnerar desde el mismo servidor de correo.
Gracias por su valioso aporte

Saludos desde Colombia!!

LUIS MORALES

Re: Consulta sobre ataques de fuerza bruta

Posted: Tue Nov 27, 2018 12:43 pm
by pablokds
En realidad no pude encontrar información sobre eso, así que solo le puse el pecho a las balas jaja, osea en la consola de zimbra a las cuentas de correo bloqueadas, que por cierto siempre eran las mismas, les subí el limite de bloqueo entre 7 a 10 intentos y en el fail2ban el filtro dovecot lo deje en maximo 0 intentos para que mueran de inmediato las ip y bantime -1 osea baneo permanente, con eso los ataques siguieron hasta que se le acabaron las balas y cesaron los ataques, en total fueron como 2800 ip baneadas, de ves en cuando vuelve una oleada pero no mas de 100 o 200 ip que se bloquean rápido.

Cada cierto tiempo filtro el archivo de log del fail2ban y exporto todas esas ip a una lista permanente en mi firewall para cuando tenga que reiniciar el servidor.

[dovecot]

enabled = true
port = smtp,ssmtp,submission,imap2,imap3,imap,imaps,pop3,pop3s
filter = dovecot
logpath = /opt/zimbra/log/mailbox.log
bantime = -1
maxretry = 0


Espero que te ayude en algo :roll:
Saludos

Re: Consulta sobre ataques de fuerza bruta

Posted: Wed Dec 05, 2018 6:05 pm
by chelinux
Hola puedes implementar un firewall que se llama csf se acopla muy bien con zimbra con este te olvidas de fail2ban ya que tiene todo un sistema completo de bloqueo de ips de forma definitiva o por tiempo determinado si así lo configuras, yo lo uso en todos mis servidores con zimbra y me va super bien.

Re: Consulta sobre ataques de fuerza bruta

Posted: Tue May 07, 2019 6:55 pm
by komatsu002
Hola Compañeros del foro:

Tengo el mismo problema con una cuenta que esta siendo atacada, ya cambie el password y eso no tiene problemas, sin embargo, el problema son los logs que esta generando los intentos fallidos de conexión, por lo que tuve que quitar la proteccion de intentos fallidos, ya que la cuenta debe de estar disponible ya que es de un usuario activo.

May 7 09:11:57 mx saslauthd[11491]: zmpost: url='https://mx.miserver.com:7073/service/admin/soap/' returned buffer->data='<soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope"><soap:Header><context xmlns="urn:zimbra"/></soap:Header><soap:Body><soap:Fault><soap:Code><soap:Value>soap:Sender</soap:Value></soap:Code><soap:Reason><soap:Text>authentication failed for [cuenta@conproblemas.com]</soap:Text></soap:Reason><soap:Detail><Error xmlns="urn:zimbra"><Code>account.AUTH_FAILED</Code><Trace>qtp928294079-15541:1557241917666:0aad41b08750628f</Trace></Error></soap:Detail></soap:Fault></soap:Body></soap:Envelope>', hti->error=''
May 7 09:11:57 mx saslauthd[11491]: auth_zimbra: cuenta@conproblemas.com auth failed: authentication failed for [cuenta@conproblemas.com]
May 7 09:11:57 mx saslauthd[11491]: do_auth : auth failure: [cuenta@conproblemas.com] [service=smtp] [realm=conproblemas.com] [mech=zimbra] [reason=Unknown]

Tengo el fail2ban trabajando, y en general funciona bien, pero no logro identificar desde dónde se esta queriendo conectar y de dónde viene ese ataque....esto comenzo con mi server cuando aun tenia la version 8.6.0, realice el upgrade a 8.8.12 y el problema continua....Gracias por su ayuda.

Re: Consulta sobre ataques de fuerza bruta

Posted: Tue May 07, 2019 6:56 pm
by komatsu002
tengo el mismo problema...encontraste una solución?

Re: Consulta sobre ataques de fuerza bruta

Posted: Wed May 08, 2019 8:10 am
by txerra
Hola

Entiendo que no tienes implementado: Postscreen

https://wiki.zimbra.com/wiki/Zimbra_Col ... Postscreen


Suerte
Un saludo

Re: Consulta sobre ataques de fuerza bruta

Posted: Wed May 08, 2019 2:21 pm
by joaovictor
Olá amigos, venho compartilhar com vocês a possível solução para os ataques... Aconteceu o mesmo em minha empresa, eu consegui resolver o problema desativando o protocolo IMAP nas contas atacadas. Já que é um ambiente corporativo não tem a necessidade de deixar os usuários conectarem pelo celular ou outros dispositivos.

Solução: Na pagina inicial do "Zimbra Administration" -> Gerenciar -> Clicar com o botão direito do mouse em cima da conta desejada -> Editar -> Recursos -> Em recursos de e-mail desativar a opção "Acesso ao IMAP".

Pronto, feito isto basta você monitorar se irá causar bloqueio. Essa solução no meu caso ja resolveu o meu problema, espero ter ajudado alguém!


At.te João Victor de Souza