Ubuntu-fr

toissarg

Postfix : tentative de hack?

Bonjour;
En regardant mes fichiers logs ce matin, je pense avoir subit une tentative de hack via postfix.

Voici un extraits de mail.warm at auth.log :

mail.warm :

Sep 24 03:29:19  postfix/smtpd[539]: warning: nvsec.jcs.k12.oh.us[64.113.183.58]: SASL LOGIN authentication failed: authentication failure
Sep 24 03:29:25  postfix/smtpd[539]: warning: SASL authentication failure: cannot connect to saslauthd server: Permission denied
Sep 24 03:29:25  postfix/smtpd[539]: warning: nvsec.jcs.k12.oh.us[64.113.183.58]: SASL LOGIN authentication failed: authentication failure
Sep 24 03:29:27  postfix/smtpd[552]: warning: SASL authentication failure: cannot connect to saslauthd server: Permission denied
Sep 24 03:29:27  postfix/smtpd[552]: warning: nvsec.jcs.k12.oh.us[64.113.183.58]: SASL LOGIN authentication failed: authentication failure
Sep 24 03:29:28  postfix/smtpd[553]: warning: SASL authentication failure: cannot connect to saslauthd server: Permission denied
Sep 24 03:29:28  postfix/smtpd[553]: warning: nvsec.jcs.k12.oh.us[64.113.183.58]: SASL LOGIN authentication failed: authentication failure
Sep 24 03:29:29  postfix/smtpd[554]: warning: SASL authentication failure: cannot connect to saslauthd server: Permission denied
Sep 24 03:29:29  postfix/smtpd[554]: warning: nvsec.jcs.k12.oh.us[64.113.183.58]: SASL LOGIN authentication failed: authentication failure
Sep 24 03:29:30  postfix/smtpd[555]: warning: SASL authentication failure: cannot connect to saslauthd server: Permission denied

Et pour auth.log :

Sep 24 04:28:15  postfix/smtpd[555]: commit transaction
Sep 24 04:28:15  postfix/smtpd[555]: sql plugin Parse the username Bowling@mondomaine
Sep 24 04:28:15  postfix/smtpd[555]: sql plugin try and connect to a host
Sep 24 04:28:15  postfix/smtpd[555]: sql plugin trying to open db 'postfix' on host 'localhost'
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin Parse the username Casio@mondomaine
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin try and connect to a host
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin trying to open db 'postfix' on host 'localhost'
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin Parse the username Casio@mondomaine
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin try and connect to a host
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin trying to open db 'postfix' on host 'localhost'
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin Parse the username Casio@mondomaine
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin try and connect to a host
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin trying to open db 'postfix' on host 'localhost'
Sep 24 04:28:33  postfix/smtpd[552]: begin transaction
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin create statement from userPassword Casio mondomaine
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin doing query select password from mailbox where username = 'Casio@mondomaine';
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin: no result found
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin create statement from cmusaslsecretPLAIN Casio mondomaine
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin doing query select password from mailbox where username = 'Casio@mondomaine';
Sep 24 04:28:33  postfix/smtpd[552]: sql plugin: no result found
Sep 24 04:28:33  postfix/smtpd[552]: commit transaction

Et j'en ai quelques pages comme celles là!

Est il possible de se premunir de ce genre d'attaque en faisant par exemple comme avec les connexions ssh en utilisant fail2ban qui banni apres 3 essais infructueux ?

Ou tout autres methodes.

Merci d'avance de vos reponses.

Dernière modification par toissarg (Le 25/09/2007, à 22:40)

---

C'est parceque la vitesse de la lumière est supérieur à la vitesse du son, que certains paraissent brillants avant d'etre c.. .

toniotonio

Re : Postfix : tentative de hack?

c'est le lot courant d'un serveur tout ca.
rien de grave.

fail2ban peut bien sur etre utilisé si cela peut te rassurer.
meme si je n'aime pas trop cette solution.

---

Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com

foobar47

Re : Postfix : tentative de hack?

Bonjour,

En effet, c'est ce qui arrive quand on ouvre des services à l'extérieur.

Dans tous les cas, il faut respecter certaines règles :

Mot de passe cryptés en base.
Mot de passe fort.
Ouvrir le strict minimum.

Uggy

Re : Postfix : tentative de hack?

Bwarning: SASL authentication failure: cannot connect to saslauthd server: Permission denied

T'aurais pas activé SASL dans Postfix alors que tu l'as pas configuré ?

toissarg

Re : Postfix : tentative de hack?

heu... ben a vrai dire j'en sait rien du tout là, comment puis je le savoir ?

---

C'est parceque la vitesse de la lumière est supérieur à la vitesse du son, que certains paraissent brillants avant d'etre c.. .

Uggy

Re : Postfix : tentative de hack?

heu... ben a vrai dire j'en sait rien du tout là, comment puis je le savoir ?

"postconf -n"
"postconf -n | grep -i sasl"

toissarg

Re : Postfix : tentative de hack?

J'avais installé en fonction de ce tuto :
http://doc.ubuntu-fr.org/serveur/postfix_mysql_tls_sasl

J'ai repris pour verifier que tous les fichiers etaient presents et je me suis aperçu qu'il me manquait juste postfix membre du groupe sasl:
Rajouter l'utilisateur postfix au groupe sasl :

$ adduser postfix sasl,

Le groupe sasl existait bien mais postfix n'en faisait pas partie; je viens d'y remedier.

Pour postconf -n :

alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_vrfy_command = yes
inet_interfaces = all
mydestination = localhost, localhost.localdomain
mydomain = monsite.com
myhostname = monsite.com
mynetworks = 127.0.0.0/8 monip
relayhost =
smtpd_client_restrictions = permit_mynetworks
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks,  permit_sasl_authenticated,  reject_non_fqdn_hostname,  reject_non_fqdn_sender,  reject_non_fqdn_recipient,    reject_unauth_destination,  reject_unauth_pipelining,     reject_invalid_hostname,  reject_rbl_client list.dsbl.org,  reject_rbl_client bl.spamcop.net,  reject_rbl_client sbl-xbl.spamhaus.org
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_mynetworks,        reject_unknown_sender_domain,        warn_if_reject reject_unverified_sender
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /home/vmail
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 51200000
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 5000
virtual_transport = virtual
virtual_uid_maps = static:5000

pour postconf -n | grep -i sasl:

broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks,  permit_sasl_authenticated,  reject_non_fqdn_hostname,  reject_non_fqdn_sender,  reject_non_fqdn_recipient,    reject_unauth_destination,  reject_unauth_pipelining,     reject_invalid_hostname,  reject_rbl_client list.dsbl.org,  reject_rbl_client bl.spamcop.net,  reject_rbl_client sbl-xbl.spamhaus.org
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous

Voilà tout y est, comment verifier le bon fonctionnement de sasl ?

Merci d'avance.

Dernière modification par toissarg (Le 25/09/2007, à 19:09)

---

C'est parceque la vitesse de la lumière est supérieur à la vitesse du son, que certains paraissent brillants avant d'etre c.. .

Uggy

Re : Postfix : tentative de hack?

smtpd_sasl_auth_enable = yes

SASL est donc activé.. mais tu ne l'as pas configuré...

Voilà tout y est, comment verifier le bon fonctionnement de sasl ?

Si tu poses cette question, c'est que vraissemblement tu ne sais pas ce que tu fais et que donc tu ne l'utilises pas.

Donc le plus simple c'est que tu vires toutes les lignes avec "sasl" de ton main.cf ce qui le désactiveras et supprimeras probablement l'erreur dans les logs.

Sinon:
http://www.postfix.org/SASL_README.html

Dernière modification par Uggy (Le 25/09/2007, à 22:38)

toissarg

Re : Postfix : tentative de hack?

Ho que non, je n'ai pas la pretention de connaitre ou de savoir tout, loin de là; comme je l'ai dit plus haut, j'ai suivi le tuto a la lettre, et pour beaucoup de chose, effectivement je ne sais pas ce que je fait !
Mais j'essaye de comprendre et ne demande qu'a apprendre, j'ai deja appris beaucoup depuis que j'ai installé un serveur, n'etant pas du tout informaticien, j'aurais bien aimé, mais l'informatique n'existait pas encore, alors je me debrouille comme je peux et avec les livres et avec l'internet, passion quand tu nous tien !!!!
Mon post n'etait pas au sujet des logs d'erreurs dans mon mail.warm qui me parraissent logiques en reponses a une tentative de piratage d'ou ma conclusion que sasl doit quand meme faire son travail, vu qu'il a repoussé toutes les tentatives; mais plustot comment se prémunir de ces attaques et eviter d'avoir des fichiers logs d'une longueur infinie.
Je te remercie pour ton lien , mais collectionnant les tares, l'anglais et moi....
Mais malgré ces handicaps, et bien j'essaie d'avancer quand meme!
Donc je vais me documenter et comprendre ce que je fait, et te prie de bien vouloir me pardonner de mon ignorance.

Amicalement.

Dernière modification par toissarg (Le 25/09/2007, à 22:32)

---

C'est parceque la vitesse de la lumière est supérieur à la vitesse du son, que certains paraissent brillants avant d'etre c.. .

Uggy

Re : Postfix : tentative de hack?

Je ne te reproche pas de ne pas savoir... je dis juste qu'il vaut mieux essayer de comprendre les lignes qu'on ajoute .... surtout si tu cherches a progresser 

Pour l'anglais:
http://postfix.traduc.org/index.php/SASL_README.html

C'est bon maintenant les logs si tu désactives le SASL ?

Comme l'a dit Tonio, il peut toujours y avoir des personnes essayant de rentrer...

Dernière modification par Uggy (Le 25/09/2007, à 22:38)

toissarg

Re : Postfix : tentative de hack?

Pour moi les logs me parraissent logique vu qu'ils sont apparus en reponse d'une tentative d'attaque; sinon, je n'ai aucun problemes avec postfix, ces logs se sont arretés lorsque l'attaque a cessé.
C'est pourquoi je ne comprends pas lorsque tu dit que sasl n'est pas configuré, pour moi il a fait son travail en refusant les connexions!
Ou alors il y quelquechose que je ne saisi pas dutout et je doit etre vraiment obtu!

---

C'est parceque la vitesse de la lumière est supérieur à la vitesse du son, que certains paraissent brillants avant d'etre c.. .

Uggy

Re : Postfix : tentative de hack?

C'est pourquoi je ne comprends pas lorsque tu dit que sasl n'est pas configuré, pour moi il a fait son travail en refusant les connexions!

Moi je parle du log (comme indiqué dans mon post de 16:09) :
"SASL authentication failure: cannot connect to saslauthd server: Permission denied"

A ma connaissance, si SASL était correctement configuré (ou pas activé), il n'aurais pas mis cette erreur.
Cette erreur ne survient pas lors d'une tentative infructueuse "normale" de connexion.

toissarg

Re : Postfix : tentative de hack?

bon je commence a comprendre ce que tu veux dire, c'est ce message d'erreur qui m'a foutu dedans; je l'ai mal interpréte ok; mais depuis l'attaque je ne l'ai plus eu et jamais non plus avant , donc je ne sais pas reproduire cette erreur !
Et il y a un probleme sur le tuto que j'ai suivi "betement " donc!
Je prefere essayer de le resoudre plustot que d'effacer toutes les lignes, par "curiosité" et afin d'apprendre.
Encore un defi pour moi!

---

C'est parceque la vitesse de la lumière est supérieur à la vitesse du son, que certains paraissent brillants avant d'etre c.. .

Uggy

Re : Postfix : tentative de hack?

Et il y a un probleme sur le tuto que j'ai suivi "betement " donc!

Toujours se méfier des tutos rédigés par des personnes qui ne connaissent pas toujours la signification des lignes qu'ils indiquent de mettre (pas lu celui en question, je parle des tutos "en général").

Je prefere essayer de le resoudre plustot que d'effacer toutes les lignes, par "curiosité" et afin d'apprendre.
Encore un defi pour moi!

A mon humble avis le mieux pour comprendre serait plutot d'enlever toutes les lignes et de les rajouter une par une en fonction des besoins... Mais comme tu veux...

(Sans rien mettre dans le main.cf, postfix utilise la conf par défaut qui totalise dans ma version 525 paramètres.)

Uggy

Re : Postfix : tentative de hack?

Pour info une authentification SASL qui échoue ca fait quelque chose dans le genre:

Sep 25 23:20:30 tototo postfix/smtpd[2346]: warning: aa-1-1-1-1-1.fbx.proxad.net[1.2.3.4] SASL CRAM-MD5 authentication failed: aaaaaaaaaaaaaaabbbbbbbbbbbbbccccccccccccccccddddddddd==

Mais au vu de mes logs ce genre de tentatives sont extremement peu nombreuses... (Deplus en général SASL n'est authorisé qu'en TLS...)

Dernière modification par Uggy (Le 25/09/2007, à 23:26)

toissarg

Re : Postfix : tentative de hack?

Concernant postfix lui meme, et avec l'aide de toniotonio et de bouquins, j'ai compris une bonne partie du parametrage en place, maintenant pour sasl ben me reste a bucher, et avec le temps ...

Dernière modification par toissarg (Le 25/09/2007, à 23:29)

---

C'est parceque la vitesse de la lumière est supérieur à la vitesse du son, que certains paraissent brillants avant d'etre c.. .