Depuis quelques jours quelqu'un essaie de trouver les mots de passe de
mes comptes IMAP.
Extrait des log :
Mar 5 21:10:16 serveur authdaemond: pam_unix(imap:auth): authentication
failure; logname= uid=0 euid=0 tty= ruser= rhost= user=toto
Ces logs apparaissent dans auth.log et ne contiennent pas d'IP. Fail2ban
est donc incapable de les détecter. Je ne vois rien dans mail.log,
mail.warn et mail.err.
Avez-vous une idée pour pouvoir bloquer ces requêtes ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sil
Le 06/03/2019 à 08:16, Sil a écrit :
Bonjour la liste, Depuis quelques jours quelqu'un essaie de trouver les mots de passe de mes comptes IMAP. Extrait des log : Mar 5 21:10:16 serveur authdaemond: pam_unix(imap:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=toto
J'ai enfin trouvé une correspondance dans mail.log : Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN, ip=[::ffff:109.105.195.250] Par contre fail2ban ne voit rien car son filtre est le suivant : failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=[<HOST>]$ J'ai donc créé un nouveau jail avec le filtre suivant : failregex = ^%(__prefix_line)sLOGIN FAILED, method=.*, ip=[<HOST>]$ Je vais attendre un peu pour voir si le gars se représente. Silvère
Le 06/03/2019 à 08:16, Sil a écrit :
Bonjour la liste,
Depuis quelques jours quelqu'un essaie de trouver les mots de passe de
mes comptes IMAP.
Extrait des log :
Mar 5 21:10:16 serveur authdaemond: pam_unix(imap:auth):
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
user=toto
J'ai enfin trouvé une correspondance dans mail.log :
Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN,
ip=[::ffff:109.105.195.250]
Par contre fail2ban ne voit rien car son filtre est le suivant :
Bonjour la liste, Depuis quelques jours quelqu'un essaie de trouver les mots de passe de mes comptes IMAP. Extrait des log : Mar 5 21:10:16 serveur authdaemond: pam_unix(imap:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=toto
J'ai enfin trouvé une correspondance dans mail.log : Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN, ip=[::ffff:109.105.195.250] Par contre fail2ban ne voit rien car son filtre est le suivant : failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=[<HOST>]$ J'ai donc créé un nouveau jail avec le filtre suivant : failregex = ^%(__prefix_line)sLOGIN FAILED, method=.*, ip=[<HOST>]$ Je vais attendre un peu pour voir si le gars se représente. Silvère