cerhu > linux.debian.user.french

Sil (06/03/2019, 09h50)
Bonjour la liste,

Depuis quelques jours quelqu'un essaie de trouver les mots de passe de
mes comptes IMAP.

Extrait des log :
Mar  5 21:10:16 serveur authdaemond: pam_unix(imap:auth): authentication
failure; logname= uid=0 euid=0 tty= ruser= rhost= user=toto

Ces logs apparaissent dans auth.log et ne contiennent pas d'IP. Fail2ban
est donc incapable de les détecter. Je ne vois rien dans mail.log,
mail.warn et mail.err.
Avez-vous une idée pour pouvoir bloquer ces requêtes ?

Par avance merci.
Silvère Maugain
Sil (06/03/2019, 11h00)
Le 06/03/2019 à 08:16, Sil a écrit :
> Bonjour la liste,
> Depuis quelques jours quelqu'un essaie de trouver les mots de passe de
> mes comptes IMAP.
> Extrait des log :
> Mar  5 21:10:16 serveur authdaemond: pam_unix(imap:auth):
> authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
> user=toto


J'ai enfin trouvé une correspondance dans mail.log :

Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN,
ip=[::ffff:109.105.195.250]

Par contre fail2ban ne voit rien car son filtre est le suivant :

failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=\[<HOST>\]$

J'ai donc créé un nouveau jail avec le filtre suivant :

failregex = ^%(__prefix_line)sLOGIN FAILED, method=.*, ip=\[<HOST>\]$

Je vais attendre un peu pour voir si le gars se représente.

Silvère
Discussions similaires
fail2ban

transfert de mail entre serveur (imap bincap à imap dovecot)

[Thunderbird] SyncKolab : IMAP Calendar & IMAP Address Book

[postfix+virtual+mysql+AV+imap]Trier vers dossiers imap coté serveur


Fuseau horaire GMT +2. Il est actuellement 03h31. | Privacy Policy