Attaque en cours ?

,

Salut ! o/

D’après Monitorix, que j’ai justement installé récemment, j’ai depuis ≃1h mon trafic SMTP très nettement plus élevé que d’habitude. Intrigué, je suis allé voir dans mon /var/log/mail.log, et je vois ce petit groupe de lignes qui se répète en boucle toutes les ≃10 secondes :

Dec 20 13:34:35 fadrienn postfix/smtpd[13658]: connect from slot0.bepotastine.com[2.56.59.143]
Dec 20 13:34:35 fadrienn postfix/smtpd[13658]: warning: connect to Milter service inet:localhost:11332: Connection refused
Dec 20 13:34:35 fadrienn postfix/smtpd[13658]: lost connection after AUTH from slot0.bepotastine.com[2.56.59.143]
Dec 20 13:34:35 fadrienn postfix/smtpd[13658]: disconnect from slot0.bepotastine.com[2.56.59.143] ehlo=1 auth=0/1 commands=1/2

Est-ce que je peux/dois faire quelque chose, d’après vous ?

(En tout cas, j’avais installé Monitorix dans le doute pour tester ; je crois bien que je vais le garder, du coup ^^)

Ça a visiblement cessé au bout d’environ 2h. Du coup je n’ai rien fait, mais si quelqu’un a des pistes sur ce qu’il serait pertinent comme suites à donner ou sur la façon de réagir la prochaine fois que quelque chose de ce style se produit, n’hésite pas :slight_smile:

Aucune idée précise, mais peut-être durcir fail2ban pour bloquer les ip qui font des cgoses et se font bloquer trop souvent ?

Bonjour,

Visiblement, cela vaut ce que ça vaut, l’IP est connue sur AbuseIP :
https://www.abuseipdb.com/check/2.56.59.143

Sangokuss.

Je dirais la même chose, ce n’est pas la solution miracle mais ça épure pas mal les logs et autant bloquer ce type d’ip visiblement non légitime. Il faut voir du côté des filtres postfix-failedauth ou postfix.auth (à voir si ils sont présents nativement, je ne sais plus si c’est moi qui les ai ajoutés) que tu actives dans un fichier /etc/fail2ban/jail.d/jail-perso.conf

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.