Hacknutý Dovecot SASL imap (vyřešeno)

Ahoj, já už si nevím rady, ale hackli nám dneska tři mailové účty, ze kterých odesílali spam maily. Webmail máme přes tls a to samé se vzdáleným přístupem. Jde to jen přes port 993 a 465. Přihlašování bylo přes plain auth, ale to by neměl být problém, když připojení jsou zabezpečená?

Ukradene prihlasovaci udaje z klientskych pocitacu... bezna vec u zavirovanych stanic.

Doaenův zákon průtahů: Čím pomaleji pracuješ, tím méně naděláš chyb. -- Murphy

10.3.2016 19:52 Darkhunter
Rozbalit Rozbalit vše Re: Hacknutý Dovecot SASL imap

A že by prostě byli zavirovaní všichni tři a jejich hesla se použila naráz?

Řešení 2× (Jesus Jimenez, azurIt)

10.3.2016 21:17 fish | skóre: 22
Rozbalit Rozbalit vše Re: Hacknutý Dovecot SASL imap

Čas zavirování nesouvisí s časem zneužití. Projdi si zpětně logy, odkud se ti konkrétní uživatelé hlásili. Pravděpodobně najdeš výkyvy ze standardního chování.

Většinou to vypadáa tak, že najdeš třeba měsíc nebo dva starý záznam o přihlášení ze zahraničí, který se jen úspěšně autorizuje, ale žadnou zprávu nepošle. O něco později se pak během chvíle objeví připojení z několika různých IP po celém světě, přes získané údaje vychrlí spamy a pak se zas na čas odmlčí. Pokud nehlídáš logy nebo nespadneš na nějaký blacklist, nemusí si toho nikdo všimnout a spameři účet nerušeně používají.

Jak už napsali ostatní, nejčastější příčiny jsou slabé heslo nebo zavirovaný počítač.

Dotaz: Hacknutý Dovecot SASL imap

Odpovědi