major988 Loginversuche

Alexander Dalloz ad+lists at uni-x.org
Di Mär 26 21:54:32 CET 2019 


Am 26.03.2019 um 17:22 schrieb postfix_ml at rirasoft.de:
> Hallo zusammen,
> 
> in letzter Zeit tauchen sehr häufig in der /var/log/maillog folgende
> Zeilen auf:
> 
> dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs):
> user=<major988 at meine_domain.de>, method=PLAIN, rip=177.52.249.103,
> lip=192.168.2.13, TLS, TLSv1.2 with cipher DHE-RSA-A
> ES256-GCM-SHA384 (256/256 bits)
> 
> dovecot: imap-login: Disconnected (auth failed, 1 attempts in 5 secs):
> user=<major988>, method=PLAIN, rip=177.128.209.58, lip=192.168.2.13,
> TLS, TLSv1.2 with cipher DHE-RSA-AES256-GCM-SH
> A384 (256/256 bits)
> 
> Immer mit wechselnden IP-Adressen. Ist ein da Bot im Internet unterwegs?
> 
> 
> Gruß
> Andreas
> 

Ja, sehe ich auch bei mir in letzter Zeit. Interessant ist, dass 
wirklich immer neue Client IP Adressen aufschlagen. Die Frequenz ist bei 
mir klein, die Zahl der Usernamen, mit denen Logins versucht werden aber 
klein und zielsicher. Das ist kein blindes Brute Forcen der Loginkennungen.

Dafür sind die verwendeten Passwörter erschreckend einfältig. Ich habe 
mal einen überschaubaren Zeitraum raum lang dovecot im Debug Modus 
mitloggen lassen, um einen Eindruck zu erhalten, welche Muster die 
ausprobierten Passwörter zeigen.

~]# egrep -o '(SHA512-CRYPT\(.*\))' /var/log/maillog-20190324 | sort | 
uniq -c
       2 SHA512-CRYPT(00000000)
       1 SHA512-CRYPT(123qweasd)
       2 SHA512-CRYPT(a)
       1 SHA512-CRYPT(ad07)
       1 SHA512-CRYPT(ad1992)
       1 SHA512-CRYPT(ad2008)
       1 SHA512-CRYPT(ads)
       1 SHA512-CRYPT(alexander07)
       1 SHA512-CRYPT(alexander16)
       1 SHA512-CRYPT(alexander7)
       1 SHA512-CRYPT(amanda)
       1 SHA512-CRYPT(amores)
       1 SHA512-CRYPT(hunter)
       2 SHA512-CRYPT(jackson)
       1 SHA512-CRYPT(jennifer)
       2 SHA512-CRYPT(jesus)
       1 SHA512-CRYPT(michelle)
       2 SHA512-CRYPT(money)
       2 SHA512-CRYPT(mustang)
       1 SHA512-CRYPT(princess)
       1 SHA512-CRYPT(qwertyuiop)
       1 SHA512-CRYPT(rosemary)
       2 SHA512-CRYPT(test)
       1 SHA512-CRYPT(tigger)

Das mag nicht für alle Opfer repräsentativ sein und sich in Zukunft ändern.

Alexander

Mehr Informationen über die Mailingliste Postfixbuch-users