Считайте это политинформацией. Хотя, думаю, что кому-нибудь эта информация пригодится. Если модераторы сочтут мой пост неуместным – удалят. Я не обижусь.
Речь, собственно, идет об использовании ваших SMTP, для подбора паролей ваших экаунтов. Об этом я уже постил раньше в почти одноимённом постинге «Всё так страшно». Там кроме констатации фактов были приведены некоторые особенности «процесса», которые хоть и не дотягивают до «сигнатур» атаки, но всё же могут быть использованы в эвристических «IDS». Одна из особенностей была в том, что при подборе пароля очередного пользователя, например, administrator – используется своя сессия. Т.е., как и в случае SYN-flood за сигнатуру можно было б принять большое кол-во сверхкоротких «почтовых» сообщений. Там речь шла о таких «легальных» с точки зрения IDS пакетах:
Вчера меня снова пытались похачить. Но изменилась тактика «товарищей». Атака продолжалась ~ 20 минут
(14.43 – 15.03). Все попытки подобрать пароль происходили из ОДНОЙ СЕССИИ. Т.е. вместо большого числа пакетов SYN, SYN ACK, … идёт как-бы СОВЕРШЕННО НОРМАЛЬНАЯ ПЕРЕДАЧА. Мы наблюдаем обычную передечу … PUSH, PUSH ASK ….. Думаю, что IDS традиционного межсетевого экрана практически НЕ СМОЖЕТ УСМОТРЕТЬ В ЭТОМ НИЧЕГО ДЕСТРУКТИВНОГО!!!
Почтовый лог – вообще трудно, что заметить что-нибудь дурное:
Только две строчки. И это на 20-минутную попытку подобрать пароли 12 пользователей в течении 20 минут.
Возможно будет полезной следующая дополнительная информация:
1) пароли на этот раз подбирались «автоматически» (об этом говорит частота пакетов и сообщений в логах)
2) злоумышленник исследовал следующие экаунты:
abc, data, server, backup, www, web, test, webmaster, admin, root, master, administrator
Выводы:
1) «нормальные» хацкеры не повторяются. Так, что надо всегда ждать от них чегось новенького. И ожидать надо, что совершенно «нормальные» вещи окажутся ненормальными.
2) если у вас есть громкие имена, типа тех что выше (….webmaster, admin, root, master, administrator…) – сами знаете, что нужно сделать. Можно даже и не убивать, а наделить соответствующими бестолковыми бюджетами.
чтобы я сделал будь я автором почтового сервера...04.01.04 09:03 Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 04.01.04 09:22 Количество правок: 1
Вернее я эту фишку уже применял на практике в совершенно другой проге в которой есть авторизация. Храним для аккаунта время последней попытки коннекта. И после например 5й или 10й неудачной попытки блокируем аккаунт. Но не так как это делается обычно - задержкой процедуры авторизации (Кстати задержка тоже присутствует - n*500 мсекунд, где n - номер неудачной попытки начиная с нуля), а хитрее - даже в случае удачной авторизации после большого количесва ошибочных клиенту выдается что авторизация обломалась. Если же удачная попытка последовала через большой интервал времени (выбирается рандомом при включении режима ложного отлупа) после неудачных то счетчик сбрасывается и авторизация проходит успешно. На практике юзер если всетаки умудрится ошибится 10 раз и потом всетаки введет верный пароль то получит отлуп. Почешет репу, заглянет в блокнотик и попробует еще раз - и зайдет. Имхо нормальная цена за безопасность.
Да, Вы, конечно, правы. Если бы такое, более тонкое...05.01.04 00:34 Автор: void <Grebnev Valery> Статус: Elderman
> Вернее я эту фишку уже применял на практике в совершенно > другой проге в которой есть авторизация.
Да, Вы, конечно, правы. Если бы такое, более тонкое управление политиками блокирования экаунтов было в промышленном ПО, думаю, все бы выиграли. Однако, дай Бог, чтобы админы пользовались хоть бы теми стандартными средствами, которые уже есть в ПО.
Видел немало контор, где на это пюлюют. Лично для меня (для ресурсов в нашей конторе) такие админы - потенциальная угроза. Их хакают и используют, как площадку. Говорю не для красного словца. Такое уже было.
Прошу разъяснить..05.01.04 08:14 Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
> ..у меня, например, стоит закрытие сессии после трех > неудачных попыток.. против вышеописанной атаки это не > помогает?
Конечно, помогает. И это хорошо.
Просто у меня не столь умная прога :(. Она позволяет только блокировать экаунт, если злоумышленник правильно определил имя пользователя (т.е. он подбирает пароль пользователя root, который на самом деле существует) и ошибается в пароле.
У Вас, как я понял, всё гораздо лучше и умнее - разрывается соединение. Конечно, это круто, имхо.
ПС.
Я не так, чтобы знающий товарищЪ. Подскажите, плз. А как это происходит ( не блокирование экаунта, а разрыв соединения на уровне транспорта, или аппликейшн лэвл)? Это свиппер в горле сетке? Или на майлере?
Это сам почтовик (MDaemon для MS) рвет сессию.05.01.04 11:41 Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
> Я не так, чтобы знающий товарищЪ. Подскажите, плз. А как > это происходит ( не блокирование экаунта, а разрыв > соединения на уровне транспорта, или аппликейшн лэвл)? Это > свиппер в горле сетке? Или на майлере?
Это сам почтовик (MDaemon для MS) рвет сессию.
А не могли бы Вы подсказать?08.01.04 01:43 Автор: void <Grebnev Valery> Статус: Elderman
> > Я не так, чтобы знающий товарищЪ. Подскажите, плз. А > как > > это происходит ( не блокирование экаунта, а разрыв > > соединения на уровне транспорта, или аппликейшн лэвл)? > Это > > свиппер в горле сетке? Или на майлере? > > Это сам почтовик (MDaemon для MS) рвет сессию.
Клёво. В MS (exchange) такого не видел. Если не затруднит, киньте, пожалуйста, линки на эту прогу. Очень бы хотелось познакомиться.
www.altn.com06.01.04 07:47 Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
