[PLUTO-security] POP3LOGIN: ovvero un DOS !

Beppe beppebz a tin.it
Mer 17 Mar 2004 01:21:33 CET


Ciao a tutti !!!

La presente per chiedere un consiglio a tutti i frequentatori
della lista.

Nei giorni passati ho notato un insolito aumento del traffico diretto verso il
server POP3 !!!!
Dopo una accurata analisi dei log ho notato di essere stato per qualche decina 
di minuti vittima di un DOS, un tentativo che definirei anche stupido (sempre 
che lo sia) da parte di qualche lamer rompico....ehmm eccessivamente 
intraprendente ! 

Ha tentato il login via POP3 ed a giudicare dalla frequenza delle scritture 
direi anche in "brute-force", sicuramente attraverso qualche programmino 
ritagliato ad hoc.

Ma non c'è da stupirsi; dall'altra parte, con pochissimo sforzo in rete di 
toolzzz free adatti allo scopo, ne trovi a vagonate.

Per fortuna, l'evento è durato poco e non ha avuto conseguenza di nessun
genere, a parte l'allarme; anche nei giorni successivi non è successo niente.
Insomma, a prima vista semprerebbe un evento limitato, ma certamente non va 
preso come aspetto per dormire sonni tranquilli, anzi da studiare: 
come correre hai ripari in questi casi quanto meno per limitare le 
possibilità ??? (oltre a segnalare l'abuso ovviamente)

Le ipotesi che ho valutato sono state:

IPTABLES ? ... ovvero sto attaccato al monitor 24/h e fermo manualemente 
questo genere di eventi. Impensabile: evento imprevedile e in condizioni di 
dialup, è inutile.

NIDS attivo? ... apparentemente la soluzione migliore, 
ma se il cane se ne accorge e non è stupido, rischio di farmi tagliare fuori !

VIA POP3 ? ...utilizzo COURIER! 
Ho settaciato in lungo e largo le doc, ma a parte qualche funzione buona a 
limitare il numero di connesioni per IP, non ho trovato molto altro.
Forse attraverso i moduli PAM (sono un profano in questo), ma in ogni caso 
tutti i virtual domain autenticano via MYSQL quindi...
Tra l'altro pensandoci bene, in caso l'evento si allunghi in termini di tempo, 
potrebbe anche causare un degrado della macchina:

1 connesione a COURIER, apre a sua volta una connesione a MYSQL,
che esegue l'iterrogazione e ritorna la risposta.

Insomma 100 tentativi di LOGIN = 200 connesioni aperte.

Oddio forse sotto questo punto di vista, stiamo parlando di DOS con la "D" 
maiuscola :), ma preferisco non lasciare nulla al caso !

Esperienze, idee o valutazioni da parte vostra ?
Ciao ciao Beppe

-- 
GnuPG Public KEY: 
--->[http://www.bpnets.org/beppe.asc]



Maggiori informazioni sulla lista pluto-security