OVH Community, your new community space.

Bruteforce SASL


Douks
23/01/2014, 12h42
Bonjour à tous,

Depuis mercredi dernier, je reçois une fois par heure un message de F2Ban (ci-dessous) qui m'informe qu'un rigolo à été banni. J'ai déjà eu le coup une première fois l'année dernière, j'ai résolu en faisant un nullroute sur toutes les IP (10-15) et en abaissant le nombre d'erreur pour être banni par F2B.

Ça recommence donc depuis mercredi, et le rigolo semble avoir un peu plus de serveurs zombies de dispo car les IP sont presque toutes différentes (la ou, l'année dernière, elles se répétaient plusieurs fois).



Ma question est donc : est-ce que quelqu'un aurait un template de Fail2Ban pour créer une jail qui irait bannir en cherchant dans les logs SASL la chaîne "UGFzc3dvcmQ6" (il semblerait que ça signifie "password" en base64) ou simplement un lien vers une éventuelle doc pour créer sa jail ?

Code:
Jan 22 01:12:29 karl postfix/smtpd[28373]: connect from unknown[79.136.209.203]
Jan 22 01:12:32 karl postfix/smtpd[28373]: warning: unknown[79.136.209.203]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jan 22 01:12:36 karl postfix/smtpd[28373]: warning: unknown[79.136.209.203]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jan 22 01:12:40 karl postfix/smtpd[28373]: warning: unknown[79.136.209.203]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Autant pour la première série, j'ai contacter les services abuse à chaque fois, je pense que cette fois-ci je vais oublier. Entre ceux qui ne répondent pas, ceux qui ont une boite pleine (ça montre un peu le réseau de merde), ceux qui ont une boite inexistante, et ceux qui n'identifient même pas leur réseau sur le whois ...

Bref, merci d'avance