Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2016-10-16 11:12:55

  redelek - Członek DUG

redelek
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2008-07-17

Problem z wyciekaniem hasła

Hej,

Zachodzę w głowę i brak mi pomysłów. Mam system pocztowy postfix, dovecot, roundcube. Wszystkie paczki mam aktualne i mam problem.
Jeden z 400 użytkowników rozsyła mi spam co 1 tydzień lub dwa tygodnie. Wygląda na sierotę, żeby to sam robił. Kolejka rośnie do ponad 2000 tyś email. Wyłapuję to i blokuję, ale dlaczego tak się dzieje. Przetrzepałem mu wszystkie urządzenia, komputer stacjonarny z Window, laptopa z MacOS, telefon z Windows8. Po zablokowaniu i zmianie hasła pomaga na jakiś czas. Użytkownik twierdzi, że nie zmienia jasła na takie co miał, ale mu nie wierzę więc sprawdzam hasła w bazie. Serwery też sprawdziłem są czyste. Dzieje się tak w przypadku jednej osoby reszta pracuje bez problemów. Jak mogę go jeszcze namierzyć skąd następuje atak i włamanie. W logach mam jego ip z vectra, od nas z roboty i z sieci komórkowej, są jakieś wpisy login filed , ale za boga nie mogę tego znaleść z czego dochodzi do ataku. Próbowałem, eliminować urządzenia, zabrałem komputer stacjonarny było rozsyłanie spamu, zabrałem laptopa też była akcja z rozsyłaniem spamu, telefonu nie mogę zabrać bo to prywatny.

Może macie jakieś pomysły co ustawić co sprawdzić, bo mi już się skończyły pomysły.

Dzięki serdeczne za pomoc.


Pozdrawiam
Redelek
--------------------------------------------------------
Polecam hosting ViPower https://vipower.pl/panel/aff.php?aff=208, TikTalik https://tiktalik.com/pl/

Offline

 

#2  2016-10-16 11:26:08

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Problem z wyciekaniem hasła

Co oni tam za routery mają w tej Vectrze?

Offline

 

#3  2016-10-16 11:38:18

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Problem z wyciekaniem hasła

3232

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:46:14)

Offline

 

#4  2016-10-16 16:16:32

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Problem z wyciekaniem hasła

W Postfixie i Dovecocie da się włączyć dodatkową autoryzację przez certyfikaty X509/PKCS#12.

Byłoby z tym trochę gimnastyki na początku, ale na problem wyciekających haseł sprawa idealna, skuteczność 100/100.

Względnie zrób pacjentowi 3 skrzynki pocztowe, żeby na każdym urządzeniu miał inne hasło, wtedy przynajmniej się dowiesz, o które urządzenie i o który system chodzi.

SSL na SMTP, POP3 i IMAP masz ustawione jak, można się logować bez SSL/TLS?
W Postfixie masz przy smtp_tls may czy encrypt.


Zrobiłbym  też osobne hasło do Dovecota a osobne do Postfixa, jak np używasz PAM z SQL czy sam SQL, to jest bułka z masłem.

To też może mocno rozjaśnić sytuację.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2016-10-16 18:27:22)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2016-10-16 16:36:54

  mati75 - Psuj

mati75
Psuj
Skąd: default city
Zarejestrowany: 2010-03-14
Serwis

Re: Problem z wyciekaniem hasła

Musi mieć jakiś syf na komputerze. Ewentualnie ma hasło słownikowe łatwe do złamania. Obstawiam:

laptopa z MacOS[/quote]
Ile razy słyszałem od użytkowników apple, że mają czysty komputer a spam i tak leciał.


[img]https://l0calh0st.pl/obrazki/userbar.png[/img]

Offline

 

#6  2016-10-16 18:35:56

  kiko80 - Użytkownik

kiko80
Użytkownik
Skąd: /mnt/podlasie
Zarejestrowany: 2007-04-03

Re: Problem z wyciekaniem hasła

A nie możesz mu włączyć limitu wysyłanych wiadomości np do 50 dziennie a jak przekroczy bloker w danym dniu i dopóki nie usunie tak będzie codziennie


Wirusy w Linuxie to jak krasnoludki,
podobno są ale nikt ich nie widział :D
http://filefox.pl/poleca/kiko80
Linux register users: #445562

Offline

 

#7  2016-10-16 19:13:18

  redelek - Członek DUG

redelek
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2008-07-17

Re: Problem z wyciekaniem hasła

komputery skanowałem osobiście, są czyste to co było usunięte. Z MacOS nie jest tak strasznie można go zeskanować ładnie. Korzystamy głównie z przeglądarki nie mamy klientów pocztowych. W domu Pani ma laptopa MacOS i telefon, w pracy stacjonarny innych urządzeń nie podała.
@kiko80 dobry pomysł, jak to można zrobić ? postfix działa z mysql


Pozdrawiam
Redelek
--------------------------------------------------------
Polecam hosting ViPower https://vipower.pl/panel/aff.php?aff=208, TikTalik https://tiktalik.com/pl/

Offline

 

#8  2016-10-16 19:23:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Problem z wyciekaniem hasła

Limit maili per IP?

Artystyczna rzeźba  w Perlu Cię nie minie, chyba że użyjesz gotowca:
http://www.lemat.priv.pl/index.php?m=page&pg_id=160
Tu sam skrypt:
http://www.lemat.priv.pl/pliki/policyd-lemat2

PS.
Jak zrobisz babce osobne hasła per/urządzenie (w SQL bułka z masłem), to się dowiesz, co jest grane - które diabelstwo handluje hasłami.
Robisz w tabeli mailbox trzy skrzynki  z lokalizacją w jednym folderze, albo dodatkowe skrzynki na dyziu linkujesz do oryginalnej, i masz trzech pacjentów do jednej skrzynki.
Potem logowanie zapisujesz do pliku logu, i widzisz, które urządzenie się zbyt często logowało do SMTP.

Musisz tylko pozwolić, żeby ze wszystkich trzech skrzynek dało się wysyłać na jednym adresie - tym oryginalnym, przy różnych danych logowania.

W każdym razie to jest wykonalne na kilka różnych sposobów.

komputery skanowałem osobiście, są czyste to co było usunięte.[/quote]
Oznacza nie, że są czyste, tylko że antywir więcej nie rozpoznał.
To ZASADNICZA różnica.

Chociaż najprawdopodobniej  nie masz szyfrowania wymuszonego na poczcie, i np telefon  czy tablet loguje się bez szyfrowania, a dsniff może sobie pracować w shakowanym routerze.
Jak często ludzie sprawdzają sumy kontrolne wszystkich plików w systemie routera?

Pozdro

Ostatnio edytowany przez Jacekalex (2016-10-16 23:38:39)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2016-10-16 22:48:31

  redelek - Członek DUG

redelek
Członek DUG
Skąd: Warszawa
Zarejestrowany: 2008-07-17

Re: Problem z wyciekaniem hasła

dzięki za info coś pokombinuję w tą stronę.


Pozdrawiam
Redelek
--------------------------------------------------------
Polecam hosting ViPower https://vipower.pl/panel/aff.php?aff=208, TikTalik https://tiktalik.com/pl/

Offline

 

#10  2016-10-17 05:00:21

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Problem z wyciekaniem hasła

[quote=redelek]dzięki za info coś pokombinuję w tą stronę.[/quote]
Rzuć okiem na to:
https://blog.fortinet.com/2016/10/12/home-routers-new-favorite-of-cybercriminals-in-2016

I wymuś połączenia SLL/TLS na poczcie i wszystkich logowanych usługach, NATYCHMIAST.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00120 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.139.239.157' WHERE u.id=1
0.00073 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.139.239.157', 1732221974)
0.00045 SELECT * FROM punbb_online WHERE logged<1732221674
0.00048 SELECT topic_id FROM punbb_posts WHERE id=306080
0.00052 SELECT id FROM punbb_posts WHERE topic_id=29054 ORDER BY posted
0.00046 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29054 AND t.moved_to IS NULL
0.00027 SELECT search_for, replace_with FROM punbb_censoring
0.00096 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29054 ORDER BY p.id LIMIT 0,25
0.00082 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29054
Total query time: 0.00603 s