Dennis Baaten Blog

Gisteren ontdekte ik dat er vanuit Rusland een poging is gedaan om mijn Linux server op de POP3 poort te brute-forcen. Qua formaat een van de meer serieuzere pogingen, maar qua methode voor mijn gevoel niks bijzonders. De hackpoging startte op zaterdag 28 maart om 21:44:54 en eindigde op zondag 29 maart om 20:00:15. Gedurende deze periode van ongeveer 21 uur (inclusief 1 uur extra aftrek vanwege de zomertijd) heeft mijn server 13818 gefaalde inlogpogingen in zijn logfile weg geschreven. Dat is grofweg elke 5,5 seconde een poging.

Om je een beeld te geven hoe dit er ongeveer uitziet in mijn logfiles, hieronder een verkorte versie van de eerste 5 en de laatste 5 logregels van de aanval:

pop3login: LOGIN FAILED, user=0a, ip=[::ffff:79.174.68.110]
pop3login: LOGIN FAILED, user=0b, ip=[::ffff:79.174.68.110]
pop3login: LOGIN FAILED, user=0c, ip=[::ffff:79.174.68.110]
pop3login: LOGIN FAILED, user=0d, ip=[::ffff:79.174.68.110]
pop3login: LOGIN FAILED, user=0e, ip=[::ffff:79.174.68.110]

pop3login: LOGIN FAILED, user=zygmunt, ip=[::ffff:79.174.68.110]
pop3login: LOGIN FAILED, user=zyra, ip=[::ffff:79.174.68.110]
pop3login: LOGIN FAILED, user=zyta, ip=[::ffff:79.174.68.110]
pop3login: LOGIN FAILED, user=zz, ip=[::ffff:79.174.68.110]
pop3login: LOGIN FAILED, user=zzz, ip=[::ffff:79.174.68.110]

In de logfile zie je duidelijk dat er voor de aanval gebruik wordt gemaakt van een lijst met mogelijke gebruikersnamen; een zogenaamde woordenlijstaanval. Het wachtwoord is hoogstwaarschijnlijk gelijk aan de gebruikersnaam. Er wordt dan bijvoorbeeld ingelogd met gebruikersnaam admin en als wachtwoord ook admin. Geeft maar weer even aan dat het toch belangrijk is je wachtwoord nét even iets handiger te kiezen.

Uit nieuwsgierigheid toch even gekeken waar dat IP adres vandaan komt. Met behulp van www.ipaddresslocation.org krijg ik de volgende informatie terug:

Your IP Address: 79.174.68.110
IP Address Hostname: itecorp.ru
IP Country: Russian Federation
IP Country Code: RUS
IP Continent: Europe
IP Region: Moscow City
Guessed City: Moscow
IP Latitude: 55.7522
IP Longitude: 37.6156
ISP Provider: Hosting Company, RBC

Ik ben benieuwd wat de Russen op mijn server denken te vinden. Of misschien hopen ze wel dat een succesvolle POP3 login ook gebruikt kan worden om mail te versturen via mijn SMTP dienst, en willen ze mijn server gratis lid maken van een botnet voor het versturen van spam.

Anyway, misschien dat ik toch eens (op een vrije en regenachtige vrijdagmiddag) een IDS ga configureren om dit soort flauwekul in de toekomst te voorkomen. Dat kost echter best wat tijd, dus voor de korte termijn ga ik mijn alleen-Nederlanse-ip-adressen truukje toepassen op de POP3 poort. Misschien helpt het als ik zo’n “nee/nee” brievenbussticker op mijn server plak.

Toegevoegd op maandag 30 maart 2009


Op dit werk is een Creative Commons Licentie van toepassing.