Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2016-10-16 11:12:55
redelek - 
Członek DUG
- redelek
- Członek DUG
- Skąd: Warszawa
- Zarejestrowany: 2008-07-17
Problem z wyciekaniem hasła
Hej,
Zachodzę w głowę i brak mi pomysłów. Mam system pocztowy postfix, dovecot, roundcube. Wszystkie paczki mam aktualne i mam problem.
Jeden z 400 użytkowników rozsyła mi spam co 1 tydzień lub dwa tygodnie. Wygląda na sierotę, żeby to sam robił. Kolejka rośnie do ponad 2000 tyś email. Wyłapuję to i blokuję, ale dlaczego tak się dzieje. Przetrzepałem mu wszystkie urządzenia, komputer stacjonarny z Window, laptopa z MacOS, telefon z Windows8. Po zablokowaniu i zmianie hasła pomaga na jakiś czas. Użytkownik twierdzi, że nie zmienia jasła na takie co miał, ale mu nie wierzę więc sprawdzam hasła w bazie. Serwery też sprawdziłem są czyste. Dzieje się tak w przypadku jednej osoby reszta pracuje bez problemów. Jak mogę go jeszcze namierzyć skąd następuje atak i włamanie. W logach mam jego ip z vectra, od nas z roboty i z sieci komórkowej, są jakieś wpisy login filed , ale za boga nie mogę tego znaleść z czego dochodzi do ataku. Próbowałem, eliminować urządzenia, zabrałem komputer stacjonarny było rozsyłanie spamu, zabrałem laptopa też była akcja z rozsyłaniem spamu, telefonu nie mogę zabrać bo to prywatny.
Może macie jakieś pomysły co ustawić co sprawdzić, bo mi już się skończyły pomysły.
Dzięki serdeczne za pomoc.
Pozdrawiam
Redelek
--------------------------------------------------------
Polecam hosting ViPower https://vipower.pl/panel/aff.php?aff=208, TikTalik https://tiktalik.com/pl/
Offline
#2 2016-10-16 11:26:08
Pavlo950 - człowiek pasjonat :D
#3 2016-10-16 11:38:18
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Problem z wyciekaniem hasła
3232
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:46:14)
Offline
#4 2016-10-16 16:16:32
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Problem z wyciekaniem hasła
W Postfixie i Dovecocie da się włączyć dodatkową autoryzację przez certyfikaty X509/PKCS#12.
Byłoby z tym trochę gimnastyki na początku, ale na problem wyciekających haseł sprawa idealna, skuteczność 100/100.
Względnie zrób pacjentowi 3 skrzynki pocztowe, żeby na każdym urządzeniu miał inne hasło, wtedy przynajmniej się dowiesz, o które urządzenie i o który system chodzi.
SSL na SMTP, POP3 i IMAP masz ustawione jak, można się logować bez SSL/TLS?
W Postfixie masz przy smtp_tls may czy encrypt.
Zrobiłbym też osobne hasło do Dovecota a osobne do Postfixa, jak np używasz PAM z SQL czy sam SQL, to jest bułka z masłem.
To też może mocno rozjaśnić sytuację.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2016-10-16 18:27:22)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2016-10-16 16:36:54
mati75 - Psuj
Re: Problem z wyciekaniem hasła
Musi mieć jakiś syf na komputerze. Ewentualnie ma hasło słownikowe łatwe do złamania. Obstawiam:
laptopa z MacOS[/quote]
Ile razy słyszałem od użytkowników apple, że mają czysty komputer a spam i tak leciał.
[img]https://l0calh0st.pl/obrazki/userbar.png[/img]
Offline
#6 2016-10-16 18:35:56
kiko80 - Użytkownik
- kiko80
- Użytkownik
- Skąd: /mnt/podlasie
- Zarejestrowany: 2007-04-03
Re: Problem z wyciekaniem hasła
A nie możesz mu włączyć limitu wysyłanych wiadomości np do 50 dziennie a jak przekroczy bloker w danym dniu i dopóki nie usunie tak będzie codziennie
Wirusy w Linuxie to jak krasnoludki,
podobno są ale nikt ich nie widział :D
http://filefox.pl/poleca/kiko80
Linux register users: #445562
Offline
#7 2016-10-16 19:13:18
redelek - Członek DUG
- redelek
- Członek DUG
- Skąd: Warszawa
- Zarejestrowany: 2008-07-17
Re: Problem z wyciekaniem hasła
komputery skanowałem osobiście, są czyste to co było usunięte. Z MacOS nie jest tak strasznie można go zeskanować ładnie. Korzystamy głównie z przeglądarki nie mamy klientów pocztowych. W domu Pani ma laptopa MacOS i telefon, w pracy stacjonarny innych urządzeń nie podała.
@kiko80 dobry pomysł, jak to można zrobić ? postfix działa z mysql
Pozdrawiam
Redelek
--------------------------------------------------------
Polecam hosting ViPower https://vipower.pl/panel/aff.php?aff=208, TikTalik https://tiktalik.com/pl/
Offline
#8 2016-10-16 19:23:28
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Problem z wyciekaniem hasła
Limit maili per IP?
Artystyczna rzeźba w Perlu Cię nie minie, chyba że użyjesz gotowca:
http://www.lemat.priv.pl/index.php?m=page&pg_id=160
Tu sam skrypt:
http://www.lemat.priv.pl/pliki/policyd-lemat2
PS.
Jak zrobisz babce osobne hasła per/urządzenie (w SQL bułka z masłem), to się dowiesz, co jest grane - które diabelstwo handluje hasłami.
Robisz w tabeli mailbox trzy skrzynki z lokalizacją w jednym folderze, albo dodatkowe skrzynki na dyziu linkujesz do oryginalnej, i masz trzech pacjentów do jednej skrzynki.
Potem logowanie zapisujesz do pliku logu, i widzisz, które urządzenie się zbyt często logowało do SMTP.
Musisz tylko pozwolić, żeby ze wszystkich trzech skrzynek dało się wysyłać na jednym adresie - tym oryginalnym, przy różnych danych logowania.
W każdym razie to jest wykonalne na kilka różnych sposobów.
komputery skanowałem osobiście, są czyste to co było usunięte.[/quote]
Oznacza nie, że są czyste, tylko że antywir więcej nie rozpoznał.
To ZASADNICZA różnica.
Chociaż najprawdopodobniej nie masz szyfrowania wymuszonego na poczcie, i np telefon czy tablet loguje się bez szyfrowania, a dsniff może sobie pracować w shakowanym routerze.
Jak często ludzie sprawdzają sumy kontrolne wszystkich plików w systemie routera?
PozdroOstatnio edytowany przez Jacekalex (2016-10-16 23:38:39)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#9 2016-10-16 22:48:31
redelek - Członek DUG
- redelek
- Członek DUG
- Skąd: Warszawa
- Zarejestrowany: 2008-07-17
Re: Problem z wyciekaniem hasła
dzięki za info coś pokombinuję w tą stronę.
Pozdrawiam
Redelek
--------------------------------------------------------
Polecam hosting ViPower https://vipower.pl/panel/aff.php?aff=208, TikTalik https://tiktalik.com/pl/
Offline
#10 2016-10-17 05:00:21
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Problem z wyciekaniem hasła
[quote=redelek]dzięki za info coś pokombinuję w tą stronę.[/quote]
Rzuć okiem na to:
https://blog.fortinet.com/2016/10/12/home-routers-new-favorite-of-cybercriminals-in-2016
I wymuś połączenia SLL/TLS na poczcie i wszystkich logowanych usługach, NATYCHMIAST.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00018 | SET CHARSET latin2 |
| 0.00008 | SET NAMES latin2 |
| 0.00171 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.17.68.14' WHERE u.id=1 |
| 0.00363 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.17.68.14', 1714915257) |
| 0.00054 | SELECT * FROM punbb_online WHERE logged<1714914957 |
| 0.00653 | DELETE FROM punbb_online WHERE ident='185.191.171.14' |
| 0.00174 | SELECT topic_id FROM punbb_posts WHERE id=306080 |
| 0.00156 | SELECT id FROM punbb_posts WHERE topic_id=29054 ORDER BY posted |
| 0.00090 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29054 AND t.moved_to IS NULL |
| 0.00025 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00123 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29054 ORDER BY p.id LIMIT 0,25 |
| 0.00168 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29054 |
| Total query time: 0.02003 s | |