Re: Fail2ban et IMAP

To: debian-user-french <debian-user-french@lists.debian.org>
Subject: Re: Fail2ban et IMAP
From: Sil <smog1@free.fr>
Date: Wed, 6 Mar 2019 09:51:26 +0100
Message-id: <[🔎] 06646b6c-f1c2-3f40-495e-0041af2df056@free.fr>
Reply-to: debian-user-french <debian-user-french@lists.debian.org>
In-reply-to: <[🔎] cad3be09-b848-12ab-f471-e0425b4f4200@free.fr>
References: <[🔎] cad3be09-b848-12ab-f471-e0425b4f4200@free.fr>

Le 06/03/2019 à 08:16, Sil a écrit :

Bonjour la liste,
Depuis quelques jours quelqu'un essaie de trouver les mots de passe demes comptes IMAP.
Extrait des log :
Mar 5 21:10:16 serveur authdaemond: pam_unix(imap:auth):authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=user=toto


J'ai enfin trouvé une correspondance dans mail.log :

Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN,ip=[::ffff:109.105.195.250]


Par contre fail2ban ne voit rien car son filtre est le suivant :

failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=\[<HOST>\]$

J'ai donc créé un nouveau jail avec le filtre suivant :

failregex = ^%(__prefix_line)sLOGIN FAILED, method=.*, ip=\[<HOST>\]$

Je vais attendre un peu pour voir si le gars se représente.

Silvère

Reply to:

References:
- Fail2ban et IMAP
  - From: Sil <smog1@free.fr>

Prev by Date: Fail2ban et IMAP
Next by Date: Re: [RESOLU] grisbi ne se lance plus
Previous by thread: Fail2ban et IMAP
Next by thread: Re: [HS] GAFAM est devenu GAFA
Index(es):
- Date
- Thread