Массовые brute-force атаки на почтовый сервер с устройств на AirOS?

Question

[w1sher]

Здравствуйте, коллеги.

В течение последней недели наш почтовый сервер подвергается постоянным brute-force атакам с попытками подбора паролей к почтовым ящикам. Что особенно интересно — все атаки исходят с устройств, работающих на AirOS (прошивка для оборудования Ubiquiti, чаще всего точек доступа NanoStation, Rocket и т.п.).

Примеры IP-адресов, с которых зафиксированы атаки:41.76.80.113, 109.207.41.186, 190.105.186.120, 186.209.243.118, 185.15.169.30, 27.54.162.131, 198.179.59.170, 41.79.19.62, 190.122.128.237, 69.88.232.68, 196.0.111.214. Это лишь небольшая часть — за неделю было зафиксировано не менее 50 подобных IP-адресов, и общее количество растёт ежедневно.

Что мы заметили:
Все источники атак — устройства на AirOS, определено по HTTP-заголовкам и характерным открытым портам.

Сами устройства часто находятся в разных странах (Африка, Латинская Америка, Европа).

Попытки авторизации идут по протоколам SMTP (AUTH LOGIN) и иногда по IMAP, с подбором логинов.

Большинство IP-адресов принадлежат провайдерам беспроводного доступа или локальным операторам.

Предположение
Есть вероятность, что эти устройства были скомпрометированы массово через уязвимость в AirOS, возможно, уязвимые по Telnet/SSH/HTTP. После взлома на устройства, судя по всему, был установлен бот, выполняющий автоматические brute-force атаки на почтовые сервера.

Зачем пишу
Хочу понять — сталкивался ли кто-то ещё с подобными атаками?

Видели ли вы активность со схожих IP-адресов или AirOS-устройств?

Есть ли информация об уязвимости, через которую могла произойти массовая компрометация?

Какие меры вы предприняли?

Comments

[Алексей]

Брудфорс идеи постоянно, по всему что открыто, я отдельно логи по нему собираю, так иногда до 500м в месяц получается, только по брутфорсу.
А когда собирал почтовый шлюз по лисяре, то без антиспам систем 95% спама резалось только настройками

Answer 1

[Руслан Федосеев]

fail2ban
Такая деятельность в интернете идет постоянно....

Answer 2

[Кот Абсолютный]

В течение последней недели наш почтовый сервер подвергается постоянным brute-force атакам с попытками подбора паролей к почтовым ящикам.

Ну прям вы одни такие :) У меня список забаненных адресов уже огого какой и он растет постоянно :) В бан - и не думать об этом :)

Answer 3

[Сергей Таразанов]

Здравствуйте. Отличный анализ. Вы абсолютно правы в своих предположениях насчет компрометации AirOS-устройств в ботнет.

Коллеги выше тоже правы по сути: основной инструмент для автоматической защиты от таких атак — это fail2ban.
Однако, просто сказать "используй fail2ban" — это половина дела. Вся сложность в деталях: в правильной настройке "джейлов" (jails) для почтовых сервисов (Postfix, Dovecot, Exim), в грамотных действиях по блокировке и в дополнительных мерах защиты.

Специально для таких случаев я держу под рукой подробное руководство по развертыванию комплексной защиты от брутфорса на сервере. В нем я по шагам расписал:
Как правильно установить и настроить fail2ban.
Как создать кастомный jail.local для защиты именно почтовых сервисов (SMTP/IMAP) от подбора паролей.
Какие actions для блокировки лучше использовать.
Какие дополнительные шаги по укреплению SSH и самого почтового сервера стоит предпринять.

Думаю, это будет именно тот развернутый ответ, который вам нужен.

Полное руководство по настройке защиты здесь: https://gist.github.com/Tazoranov/4fc70fc0f81a34d3...

Answer 4

[AUser0]

Fail2Ban.
И не зачем бабушку Тырнет мохратить.