info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Attacco IMAP
15 views
Skip to first unread message
Andrea Venturoli
Jan 7, 2022, 2:59:40 AM1/7/22
to
Ciao a tutti.
Una curiosita'...
Uno dei server che gestisco da qualche giorno e' sotto attacco: le
contromisure funzionano e sarei avvisato se per caso dovessero riuscire
ad entrare, quindi dormo tranquillo; pero' e' una situazione che non ho
mai visto.
Di solito i bot provano a caso quelle 10-15 volte, poi passano ad altro.
Qui invece:
_ la cosa dura ormai da 3 giorni;
_ i tentativi di accesso arrivano da IP sempre diversi (fail2ban ne ha
bloccati ormai piu' di 1000), distribuiti un po' in tutto il mondo
(principalmente US, molta Europa, un po' di Asia, ecc...);
_ prima hanno tentato ossessivamente ad accedere alla casella
reception@... (che non esiste); dopo 24h, hanno cominciato con
billing@... (anche questa inesistente);
_ non vedo niente di simile su nessuno degli altri server che gestisco.
Idee? Sapete se e' un attacco noto?
Grazie
Andrea Venturoli
Ammammata
Jan 7, 2022, 4:07:07 AM1/7/22
to
Il giorno Fri 07 Jan 2022 08:59:38a, *Andrea Venturoli* ha inviato su
it.comp.sicurezza.varie il messaggio news:sr8rta$1sdg$1...@gioia.aioe.org.
Vediamo cosa ha scritto:
> _ prima hanno tentato ossessivamente ad accedere alla casella
> reception@... (che non esiste); dopo 24h, hanno cominciato con
> billing@... (anche questa inesistente);
>
tontoloni... io comincerei con info@ poi contact@ :)
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
it.comp.sicurezza.varie il messaggio news:sr8rta$1sdg$1...@gioia.aioe.org.
Vediamo cosa ha scritto:
> _ prima hanno tentato ossessivamente ad accedere alla casella
> reception@... (che non esiste); dopo 24h, hanno cominciato con
> billing@... (anche questa inesistente);
>
--
/-\ /\/\ /\/\ /-\ /\/\ /\/\ /-\ T /-\
-=- -=- -=- -=- -=- -=- -=- -=- - -=-
........... [ al lavoro ] ...........
rootkit
Jan 7, 2022, 4:22:58 AM1/7/22
to
On Fri, 7 Jan 2022 09:07:04 -0000 (UTC), Ammammata wrote:
> Il giorno Fri 07 Jan 2022 08:59:38a, *Andrea Venturoli* ha inviato su
> it.comp.sicurezza.varie il messaggio news:sr8rta$1sdg$1...@gioia.aioe.org.
> Vediamo cosa ha scritto:
>
>> _ prima hanno tentato ossessivamente ad accedere alla casella
>> reception@... (che non esiste); dopo 24h, hanno cominciato con
>> billing@... (anche questa inesistente);
>>
>>
> tontoloni... io comincerei con info@ poi contact@ :)
bah, 99 su 100 sono alias...
> Il giorno Fri 07 Jan 2022 08:59:38a, *Andrea Venturoli* ha inviato su
> it.comp.sicurezza.varie il messaggio news:sr8rta$1sdg$1...@gioia.aioe.org.
> Vediamo cosa ha scritto:
>
>> _ prima hanno tentato ossessivamente ad accedere alla casella
>> reception@... (che non esiste); dopo 24h, hanno cominciato con
>> billing@... (anche questa inesistente);
>>
>>
> tontoloni... io comincerei con info@ poi contact@ :)
Andrea Venturoli
Jan 7, 2022, 5:10:06 AM1/7/22
to
On 1/7/22 10:07, Ammammata wrote:
> tontoloni... io comincerei con info@ poi contact@ :)
Infatti info@ e' quello che vedo di solito... per un po', poi si
> tontoloni... io comincerei con info@ poi contact@ :)
stufano, tanto non esiste o e' un alias.
Oppure vedo indirizzi esistenti o esistiti (che poi corrispondano
all'utenza da utilizzare e' da vedere).
Qui pero' e' diverso.
Ah, il dominio e' di una normalissima azienda di meccanica... niente di
particolarmente interessante da attaccare come fosse la NASA o McDonald.
lynd fletcher®
Jan 9, 2022, 10:11:58 AM1/9/22
to
Scriveva Andrea Venturoli venerdì, 07/01/2022:
uno degli ultimi attacchi sulla rete è log4shell che sfrutta
soprattutto una vulnerabilità della libreria log4j di Apache, ma non ho
idea se il tuo server possa essere vittima di tale attacco
https://www.agi.it/cronaca/news/2021-12-14/log4shell-ha-prodotto-800-mila-attacchi-hacker-in-3-giorni-14905420/
--
----
Saluti
fl
"ogni emozione è un messaggio,
il vostro compito è ascoltare"
Il cuore dell'anima -Gary Zukav
soprattutto una vulnerabilità della libreria log4j di Apache, ma non ho
idea se il tuo server possa essere vittima di tale attacco
https://www.agi.it/cronaca/news/2021-12-14/log4shell-ha-prodotto-800-mila-attacchi-hacker-in-3-giorni-14905420/
--
----
Saluti
fl
"ogni emozione è un messaggio,
il vostro compito è ascoltare"
Il cuore dell'anima -Gary Zukav
rootkit
Jan 9, 2022, 11:22:40 AM1/9/22
to
On Sun, 09 Jan 2022 16:11:55 +0100, lynd fletcher® wrote:
> uno degli ultimi attacchi sulla rete è log4shell che sfrutta soprattutto
> una vulnerabilità della libreria log4j di Apache, ma non ho idea se il
> tuo server possa essere vittima di tale attacco
difficile. non è conosciuta nessuna implementazione java di imap, sarebbe
> uno degli ultimi attacchi sulla rete è log4shell che sfrutta soprattutto
> una vulnerabilità della libreria log4j di Apache, ma non ho idea se il
> tuo server possa essere vittima di tale attacco
solo una grande perdita di tempo.
Andrea Venturoli
Jan 9, 2022, 12:06:48 PM1/9/22
to
On 1/9/22 16:11, lynd fletcher® wrote:
> uno degli ultimi attacchi sulla rete è log4shell che sfrutta soprattutto
> una vulnerabilità della libreria log4j di Apache, ma non ho idea se il
> tuo server possa essere vittima di tale attacco
> https://www.agi.it/cronaca/news/2021-12-14/log4shell-ha-prodotto-800-mila-attacchi-hacker-in-3-giorni-14905420/
Direi proprio di no.
> uno degli ultimi attacchi sulla rete è log4shell che sfrutta soprattutto
> una vulnerabilità della libreria log4j di Apache, ma non ho idea se il
> tuo server possa essere vittima di tale attacco
> https://www.agi.it/cronaca/news/2021-12-14/log4shell-ha-prodotto-800-mila-attacchi-hacker-in-3-giorni-14905420/
Il server non e' scritto in Java e gli utenti che propongono non sono
tentativi di exploit di questo CVE.
Gabriele - onenet
Jan 11, 2022, 5:05:45 AM1/11/22
to
On 7 Jan 2022 at 11:10:04 CET, "Andrea Venturoli" <ml.die...@netfence.it>
wrote:
Potrebbe essere che il tuo dominio assomigli a quello di altra azienda più
grande e interessante, altrimenti è strano questo accanimento e specie verso
quegli indirizzi di partenza. A volte i bot sono fatti male.
wrote:
grande e interessante, altrimenti è strano questo accanimento e specie verso
quegli indirizzi di partenza. A volte i bot sono fatti male.
ObiWan
Jan 11, 2022, 6:05:28 AM1/11/22
to
:: On Fri, 7 Jan 2022 08:59:38 +0100
:: (it.comp.sicurezza.varie)
:: <sr8rta$1sdg$1...@gioia.aioe.org>
Probabilmente è solo una delle tante botnet che ha "scoperto" il tuo
server e che sta cercando di trovare delle credenziali di accesso con
un attacco a dizionario; quello che mi chiedo però è, hai abilitato
l'accesso autenticato anche in chiaro ? Non è una buona idea, direi che
dovresti considerare l'idea di permettere l'accesso autenticato SOLO
dopo lo STARTTLS, in quel modo segherai via parecchi bots ed allo
stesso tempo eviterai che qualche utente possa farsi sniffare le
credenziali
ciao
:: (it.comp.sicurezza.varie)
:: <sr8rta$1sdg$1...@gioia.aioe.org>
Probabilmente è solo una delle tante botnet che ha "scoperto" il tuo
server e che sta cercando di trovare delle credenziali di accesso con
un attacco a dizionario; quello che mi chiedo però è, hai abilitato
l'accesso autenticato anche in chiaro ? Non è una buona idea, direi che
dovresti considerare l'idea di permettere l'accesso autenticato SOLO
dopo lo STARTTLS, in quel modo segherai via parecchi bots ed allo
stesso tempo eviterai che qualche utente possa farsi sniffare le
credenziali
ciao
Andrea Venturoli
Jan 11, 2022, 6:49:22 AM1/11/22
to
On 1/11/22 12:05, ObiWan wrote:
> Probabilmente è solo una delle tante botnet che ha "scoperto" il tuo
> server e che sta cercando di trovare delle credenziali di accesso con
> un attacco a dizionario;
altre volte; questa volta mi stupisce solo che insistano per giorni.
> quello che mi chiedo però è, hai abilitato
> l'accesso autenticato anche in chiaro ?
Fossi matto!
> Non è una buona idea, direi che
> dovresti considerare l'idea di permettere l'accesso autenticato SOLO
> dopo lo STARTTLS,
Grazie comunque.
ObiWan
Jan 11, 2022, 10:36:38 AM1/11/22
to
:: On Tue, 11 Jan 2022 12:49:17 +0100
:: (it.comp.sicurezza.varie)
:: <srjqrt$4gs$1...@gioia.aioe.org>
No ! Imap sulla 143 *ma* per l'autenticazione DEVI prima inviare uno
STARTTLS per passare alla modalità TLS, in quel modo se un client tenta
di autenticarsi SENZA aver prima inviato uno STARTTLS ed essere passato
ad una connessione TLS, il server IMAP rifiuterà e disconnetterà tale
sessione con un errore
> Uso la 993 con TLS.
Si, ok, quello è TLS implicito, ossia direttamente alla connessione,
mentre nel caso della 143 dovresti configurare il TLS esplicito, ossia
permetti le connessioni "in chiaro" ma per procedere il client dovrà
poi inviare uno STARTTLS, altrimenti "ciccia"
:: (it.comp.sicurezza.varie)
:: <srjqrt$4gs$1...@gioia.aioe.org>
No ! Imap sulla 143 *ma* per l'autenticazione DEVI prima inviare uno
STARTTLS per passare alla modalità TLS, in quel modo se un client tenta
di autenticarsi SENZA aver prima inviato uno STARTTLS ed essere passato
ad una connessione TLS, il server IMAP rifiuterà e disconnetterà tale
sessione con un errore
> Uso la 993 con TLS.
mentre nel caso della 143 dovresti configurare il TLS esplicito, ossia
permetti le connessioni "in chiaro" ma per procedere il client dovrà
poi inviare uno STARTTLS, altrimenti "ciccia"
ObiWan
Jan 11, 2022, 10:40:01 AM1/11/22
to
:: On Tue, 11 Jan 2022 16:36:36 +0100
:: (it.comp.sicurezza.varie)
:: <20220111163...@mvps.org>
comunque SE volessi attivare POP3, anche in quel caso vale lo stesso
ragionamento, ossia AUTH SOLO DOPO STARTTLS, idem per SMTP, ossia, per
il routing della posta accetti la posta in arrivo sulla 25, ma per
l'invio di posta accetti autenticazione SOLO sulle porte 465 e 587 e
solo con TLS
:: (it.comp.sicurezza.varie)
:: <20220111163...@mvps.org>
:: ObiWan <obi...@mvps.org> wrote:
> :: On Tue, 11 Jan 2022 12:49:17 +0100
> :: (it.comp.sicurezza.varie)
> :: <srjqrt$4gs$1...@gioia.aioe.org>
> :: Andrea Venturoli <ml.die...@netfence.it> wrote:
>
> > Cioe' IMAP sulla porta 110???
> > Fossi matto!
>
> No ! Imap sulla 143 *ma* per l'autenticazione DEVI prima inviare uno
P.S. la 110 è la porta di POP3, con IMAP non c'entra un tubo, e
> :: On Tue, 11 Jan 2022 12:49:17 +0100
> :: (it.comp.sicurezza.varie)
> :: <srjqrt$4gs$1...@gioia.aioe.org>
> :: Andrea Venturoli <ml.die...@netfence.it> wrote:
>
> > Cioe' IMAP sulla porta 110???
> > Fossi matto!
>
> No ! Imap sulla 143 *ma* per l'autenticazione DEVI prima inviare uno
comunque SE volessi attivare POP3, anche in quel caso vale lo stesso
ragionamento, ossia AUTH SOLO DOPO STARTTLS, idem per SMTP, ossia, per
il routing della posta accetti la posta in arrivo sulla 25, ma per
l'invio di posta accetti autenticazione SOLO sulle porte 465 e 587 e
solo con TLS
Andrea Venturoli
Jan 12, 2022, 2:12:22 PM1/12/22
to
On 1/11/22 16:40, ObiWan wrote:
> P.S. la 110 è la porta di POP3, con IMAP non c'entra un tubo,
Scusa, e' stato un lapsus.
> P.S. la 110 è la porta di POP3, con IMAP non c'entra un tubo,
> idem per SMTP, ossia, per
> il routing della posta accetti la posta in arrivo sulla 25, ma per
> l'invio di posta accetti autenticazione SOLO sulle porte 465 e 587 e
> solo con TLS
ObiWan
Jan 13, 2022, 2:54:50 AM1/13/22
to
:: On Wed, 12 Jan 2022 20:12:19 +0100
:: (it.comp.sicurezza.varie)
:: <srn96j$1h36$1...@gioia.aioe.org>
:: Andrea Venturoli <ml.die...@netfence.it> wrote:
> Certo, fatto tutto.
Incluso il forzare l'uso di TLS per l'accesso autenticato IMAP e
rifiutare l'autenticazione se non è stata avviata una sessione TLS ?
:: (it.comp.sicurezza.varie)
:: <srn96j$1h36$1...@gioia.aioe.org>
:: Andrea Venturoli <ml.die...@netfence.it> wrote:
> Certo, fatto tutto.
Incluso il forzare l'uso di TLS per l'accesso autenticato IMAP e
rifiutare l'autenticazione se non è stata avviata una sessione TLS ?
Andrea Venturoli
Jan 14, 2022, 4:01:05 AM1/14/22
to
On 1/13/22 08:54, ObiWan wrote:
> Incluso il forzare l'uso di TLS per l'accesso autenticato IMAP e
> rifiutare l'autenticazione se non è stata avviata una sessione TLS ?
La 143 e' chiusa: non possono "autenticarsi senza prima avviare una
sessione TLS", perche' non possono proprio connettersi.
E' aperta solo la 993: e' su questa che si connettono in continuazione
da giorni.
Grazie.
0 new messages