Şifre bulma girişimi

Ozan BEKTAŞ

(@OzanBEKTAS)

Gönderiler: 49

Trusted Member

Konu başlatıcı

Arkadaşlar merhaba, Sıkıntım Mail Enable Pro. v5 sunucumuzda bir kaç zamandır aldığım şifre bulma girişimleri.

Kısaca sorun şöyle; Sunucu üzerinde bulunan farklı domainlere ait mail kutularının şifreleri bulumaya çalışılıyor. Örn: Ozan ismiyle ilgili onlarca şifre kombinasyonu deneniyor, Aşağıda kısaca bir log kaydı verdim bu kayıt bir günlük logda ortalama olarak 5000satır, yani sürekli deneniyor gibi. Bunu Hotmailden dönen uyarılarından fark ettim ve kontrol ettim. Bir kullanıcının şifresi bulunmuş ve v_asdqwdas@hot... gibi adrese onlarca mail göndermiş.

Bir müşterimin mail şifresini çaldırdığını düşünerek şifresini değiştirip sorunu aştık sonra birisi sonra birisi daha olunca şifrelerden olmadığını düşünmeye başladım. Sunucuyu Nod32 ile tarattığımızda bir zararlı bulamadı. Sizce ne yapmalıyım örn: Servers->Localhost->Smtp->Settings->Inbound başlığı altında Ip Adress Connection Restrictions var bu saldırı yaptığını bildiğim ipleri engellemeye yararmı, nasıl kullanılır. Veya farklı bir savunma yöntemi varmıdır.

Servers->Localhost->Settings->Policies başlığı altında Enable Abuse Detection and Prevention var bu neye göre çalışır bilen varmıdır.

Şuanda ilk yaptığım şey bir kutu için 10 başarısız şifre denemesinde 1 saat bloke ediyorum kutuyu.

Forumda arama yaptım ama biraz benzer olarak aşağıdaki başlığı buldum fakat durum tam aynı olmadığı ve dönüş alınamadığı için başlık açma gereği duydum.
http://www.cozumpark.com/forums/thread/358508.aspx

----LOG----

11/18/12 04:04:35    SMTP-IN    C9DA20975B5547989BF216DCBA739634.MAI    1316    203.209.165.159    AUTH    AUTH LOGIN    334 VXNlcm5hbWU6    18    12
11/18/12 04:04:36    SMTP-IN    B8E1A37C6D4845FDBBCDF025330CDC04.MAI    932    203.209.165.159    AUTH    AUTH LOGIN    334 VXNlcm5hbWU6    18    12
11/18/12 04:04:36    SMTP-IN    B23AA350C31A43A78E2D318B00E474A0.MAI    1044    203.209.165.159    AUTH    AUTH LOGIN    334 VXNlcm5hbWU6    18    12
11/18/12 04:04:36    SMTP-IN    85E0AE9ADF3741D58926777435770265.MAI    1280    203.209.165.159    AUTH    AUTH LOGIN    334 VXNlcm5hbWU6    18    12
11/18/12 04:04:36    SMTP-IN    C9DA20975B5547989BF216DCBA739634.MAI    1316    203.209.165.159    AUTH    {blank}    334 UGFzc3dvcmQ6    18    10    salmon
11/18/12 04:04:36    SMTP-IN    55AF2EB1E62F40B699B3BF560D8F82E0.MAI    1076    203.209.165.159    AUTH    AUTH LOGIN    334 VXNlcm5hbWU6    18    12
11/18/12 04:04:36    SMTP-IN    B8E1A37C6D4845FDBBCDF025330CDC04.MAI    932    203.209.165.159    AUTH    {blank}    334 UGFzc3dvcmQ6    18    10    salmon
11/18/12 04:04:36    SMTP-IN    B23AA350C31A43A78E2D318B00E474A0.MAI    1044    203.209.165.159    AUTH    {blank}    334 UGFzc3dvcmQ6    18    10    salmon
11/18/12 04:04:37    SMTP-IN    85E0AE9ADF3741D58926777435770265.MAI    1280    203.209.165.159    AUTH    {blank}    334 UGFzc3dvcmQ6    18    10    salmon
11/18/12 04:04:37    SMTP-IN    C9DA20975B5547989BF216DCBA739634.MAI    1316    203.209.165.159    AUTH    c2FsbW9u    504 Invalid Username or Password    34    10    salmon
11/18/12 04:04:37    SMTP-IN    55AF2EB1E62F40B699B3BF560D8F82E0.MAI    1076    203.209.165.159    AUTH    {blank}    334 UGFzc3dvcmQ6    18    10    salmon
11/18/12 04:04:37    SMTP-IN    B8E1A37C6D4845FDBBCDF025330CDC04.MAI    932    203.209.165.159    AUTH    c2FsbW9u    504 Invalid Username or Password    34    10    salmon
11/18/12 04:04:37    SMTP-IN    B23AA350C31A43A78E2D318B00E474A0.MAI    1044    203.209.165.159    AUTH    c2FsbW9u    504 Invalid Username or Password    34    10    salmon
11/18/12 04:04:37    SMTP-IN    85E0AE9ADF3741D58926777435770265.MAI    1280    203.209.165.159    AUTH    c2FsbW9u    504 Invalid Username or Password    34    10    salmon
11/18/12 04:04:37    SMTP-IN    55AF2EB1E62F40B699B3BF560D8F82E0.MAI    1076    203.209.165.159    AUTH    c2FsbW9u    504 Invalid Username or Password    34    10    salmon
11/18/12 04:04:38    SMTP-IN    C9DA20975B5547989BF216DCBA739634.MAI    1316    203.209.165.159    QUIT    QUIT    221 Service closing transmission channel    42    6    salmon
11/18/12 04:04:38    SMTP-IN    B8E1A37C6D4845FDBBCDF025330CDC04.MAI    932    203.209.165.159    QUIT    QUIT    221 Service closing transmission channel    42    6    salmon
11/18/12 04:04:38    SMTP-IN    B23AA350C31A43A78E2D318B00E474A0.MAI    1044    203.209.165.159    QUIT    QUIT    221 Service closing transmission channel    42    6    salmon
11/18/12 04:04:38    SMTP-IN    85E0AE9ADF3741D58926777435770265.MAI    1280    203.209.165.159    QUIT    QUIT    221 Service closing transmission channel    42    6    salmon
11/18/12 04:04:38    SMTP-IN    55AF2EB1E62F40B699B3BF560D8F82E0.MAI    1076    203.209.165.159    QUIT    QUIT    221 Service closing transmission channel    42    6    salmon

Gönderildi : 20/11/2012 18:14

Erkan BÜYÜKBAYRAKTAROĞLU

(@erkanbbayraktaroglu)

Gönderiler: 376

Reputable Member

Merhaba;

Sunucunuza bulaşmış bir virüsten dolayı dışardan saldırı alıyor olabilirsiniz, nod32 bence pek başarılı bir antivirüs programı değil, size tavsiyem

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Dosyasını indirip cd ye yazın ve sunucunuzu bununla tarayın, muhtemel olarak sunucunuz virüslerden arınacaktır. Kullanımı çok basit bootable olarak açılıyor linux tabanlı çalışan bir sistem, sisteminizi tarama yapmadan önce program versiyonunu update edip tarama işlemine başlayın, umarım yardımcı olur.

Kolay gelsin

İyi Çalışmalar

Gönderildi : 21/11/2012 00:04