Задать вопрос
@w1sher

Массовые brute-force атаки на почтовый сервер с устройств на AirOS?

Здравствуйте, коллеги.

В течение последней недели наш почтовый сервер подвергается постоянным brute-force атакам с попытками подбора паролей к почтовым ящикам. Что особенно интересно — все атаки исходят с устройств, работающих на AirOS (прошивка для оборудования Ubiquiti, чаще всего точек доступа NanoStation, Rocket и т.п.).

Примеры IP-адресов, с которых зафиксированы атаки:41.76.80.113, 109.207.41.186, 190.105.186.120, 186.209.243.118, 185.15.169.30, 27.54.162.131, 198.179.59.170, 41.79.19.62, 190.122.128.237, 69.88.232.68, 196.0.111.214. Это лишь небольшая часть — за неделю было зафиксировано не менее 50 подобных IP-адресов, и общее количество растёт ежедневно.

Что мы заметили:
Все источники атак — устройства на AirOS, определено по HTTP-заголовкам и характерным открытым портам.

Сами устройства часто находятся в разных странах (Африка, Латинская Америка, Европа).

Попытки авторизации идут по протоколам SMTP (AUTH LOGIN) и иногда по IMAP, с подбором логинов.

Большинство IP-адресов принадлежат провайдерам беспроводного доступа или локальным операторам.

Предположение
Есть вероятность, что эти устройства были скомпрометированы массово через уязвимость в AirOS, возможно, уязвимые по Telnet/SSH/HTTP. После взлома на устройства, судя по всему, был установлен бот, выполняющий автоматические brute-force атаки на почтовые сервера.

Зачем пишу
Хочу понять — сталкивался ли кто-то ещё с подобными атаками?

Видели ли вы активность со схожих IP-адресов или AirOS-устройств?

Есть ли информация об уязвимости, через которую могла произойти массовая компрометация?

Какие меры вы предприняли?
  • Вопрос задан
  • 504 просмотра
Подписаться 2 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 4
martin74ua
@martin74ua Куратор тега Системное администрирование
Linux administrator
fail2ban
Такая деятельность в интернете идет постоянно....
Ответ написан
Комментировать
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Жил да был черный кот за углом...
В течение последней недели наш почтовый сервер подвергается постоянным brute-force атакам с попытками подбора паролей к почтовым ящикам.

Ну прям вы одни такие :) У меня список забаненных адресов уже огого какой и он растет постоянно :) В бан - и не думать об этом :)
Ответ написан
Комментировать
tarazanov-devops
@tarazanov-devops
Решаю проблемы с производительностью IT-систем.
Здравствуйте. Отличный анализ. Вы абсолютно правы в своих предположениях насчет компрометации AirOS-устройств в ботнет.

Коллеги выше тоже правы по сути: основной инструмент для автоматической защиты от таких атак — это fail2ban.
Однако, просто сказать "используй fail2ban" — это половина дела. Вся сложность в деталях: в правильной настройке "джейлов" (jails) для почтовых сервисов (Postfix, Dovecot, Exim), в грамотных действиях по блокировке и в дополнительных мерах защиты.

Специально для таких случаев я держу под рукой подробное руководство по развертыванию комплексной защиты от брутфорса на сервере. В нем я по шагам расписал:
Как правильно установить и настроить fail2ban.
Как создать кастомный jail.local для защиты именно почтовых сервисов (SMTP/IMAP) от подбора паролей.
Какие actions для блокировки лучше использовать.
Какие дополнительные шаги по укреплению SSH и самого почтового сервера стоит предпринять.

Думаю, это будет именно тот развернутый ответ, который вам нужен.

Полное руководство по настройке защиты здесь: https://gist.github.com/Tazoranov/4fc70fc0f81a34d3...
Ответ написан
Комментировать
@AUser0
Чем больше знаю, тем лучше понимаю, как мало знаю.
Fail2Ban.
И не зачем бабушку Тырнет мохратить.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы