Fail2ban et IMAP

1 réponse
Avatar
Sil
Bonjour la liste,

Depuis quelques jours quelqu'un essaie de trouver les mots de passe de
mes comptes IMAP.

Extrait des log :
Mar  5 21:10:16 serveur authdaemond: pam_unix(imap:auth): authentication
failure; logname= uid=0 euid=0 tty= ruser= rhost= user=toto

Ces logs apparaissent dans auth.log et ne contiennent pas d'IP. Fail2ban
est donc incapable de les détecter. Je ne vois rien dans mail.log,
mail.warn et mail.err.
Avez-vous une idée pour pouvoir bloquer ces requêtes ?

Par avance merci.
Silvère Maugain

1 réponse

Avatar
Sil
Le 06/03/2019 à 08:16, Sil a écrit :
Bonjour la liste,
Depuis quelques jours quelqu'un essaie de trouver les mots de passe de
mes comptes IMAP.
Extrait des log :
Mar  5 21:10:16 serveur authdaemond: pam_unix(imap:auth):
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
user=toto

J'ai enfin trouvé une correspondance dans mail.log :
Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN,
ip=[::ffff:109.105.195.250]
Par contre fail2ban ne voit rien car son filtre est le suivant :
failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=[<HOST>]$
J'ai donc créé un nouveau jail avec le filtre suivant :
failregex = ^%(__prefix_line)sLOGIN FAILED, method=.*, ip=[<HOST>]$
Je vais attendre un peu pour voir si le gars se représente.
Silvère