POP3 brute force attack
Jumat 19 April 2013, terima laporan dari user yang kesulitan untuk get e-mail dari mail server karyawan.
Pada saat di-cek dengan perintah 'ps' terlihat ada [sangat] banyak proses get-mail yang mengantri [jauh lebih banyak dari kondisi normal]
Periksa dengan perintah 'netstat -an | grep 110' ternyata semua proses tersebut berasal dari satu IP address, yaitu: 219.76.186.165
Langsung diputuskan untuk mengambil tindakan tegas dan terukur: blokir IP address tersebut:
ipfw add 4 deny log all from 219.76.186.165/32 to any
hasil blok terlihat di /var/log/security:
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14115 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14147 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12885 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14735 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12944 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14178 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12935 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14753 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12962 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14224 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14264 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14821 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14347 my_IP_addr:110 in via fxp0
Jelas hal ini dilakukan dengan sengaja menggunakan tool atau script, karena user biasa tidak akan mampu melakukan request secepat itu ke port 110.
Pada saat di-cek dengan perintah 'ps' terlihat ada [sangat] banyak proses get-mail yang mengantri [jauh lebih banyak dari kondisi normal]
Periksa dengan perintah 'netstat -an | grep 110' ternyata semua proses tersebut berasal dari satu IP address, yaitu: 219.76.186.165
Langsung diputuskan untuk mengambil tindakan tegas dan terukur: blokir IP address tersebut:
ipfw add 4 deny log all from 219.76.186.165/32 to any
hasil blok terlihat di /var/log/security:
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14115 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14147 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12885 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14735 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12944 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14178 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12935 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14753 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:12962 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14224 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14264 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14821 my_IP_addr:110 in via fxp0
Apr 19 08:35:43 mail /kernel: ipfw: 4 Deny TCP 219.76.186.165:14347 my_IP_addr:110 in via fxp0
Jelas hal ini dilakukan dengan sengaja menggunakan tool atau script, karena user biasa tidak akan mampu melakukan request secepat itu ke port 110.
Comments
Post a Comment