In article
<
patpro-C2E654....@node-81s.pool-1-0.dynamic.totbb.net>,
patpro ~ patrick proniewski <
pat...@boleskine.patpro.net> wrote:
> D'expérience, un compte compromis utilisé en submission est très
> facilement visible : tu peux compter 20 à 40 pays différents en moins de
> 24h, et en général plus d'une dizaine dans la première heure.
J'ai jeté un ¦il aux traces de la dernière compromission chez nous,
voici ce que cela donne :
14h38 : première connexion, origine British Virgin Islands, puis rien
jusqu'à 15h01.
15h01 à 15h08 : 5 nouveaux pays : Biélorussie, Indonésie, UK, USA,
Vietnam
15h10 à 15h17 : 4 nouveaux pays : Chypre, Russie, Taiwan, Turquie
Entre 15h et 16h : 19 pays, 59 adresses IP, 46% des connexions provenant
des USA, 7% du Vietnam
etc. jusqu'à un total de 58 pays différents (détection de la
compromission tardive du fait que les alertes Splunk mentionnées dans
mon message précédent n'était pas en place à cette date).
La détection sur changement d'IP peut donc être plus rapide, mais si tu
t'autorises une fenêtre d'une heure pour détecter un compte compromis
sur une utilisation SMTP, tu peux vraisemblablement construire
facilement la partie détection du script sans risquer de ramener aucun
faux positif.
Pour la partie blocage si tu utilises Dovecot il est peut être possible
de gérer une liste de login qui sont blacklistés :
<
http://wiki2.dovecot.org/Authentication/RestrictAccess?highlight=%28deny
%29>
D'ailleurs je pense que je vais essayer ça dès que j'ai un moment :)
Le script n'aurait qu'à ajouter le login à bloquer dans le fichier qui
va bien.
--
À vendre :
http://www.leboncoin.fr/informatique/821220894.htm
http://www.leboncoin.fr/informatique/821221994.htm