Le 06/03/2019 à 08:16, Sil a écrit :
Bonjour la liste,
Depuis quelques jours quelqu'un essaie de trouver les mots de passe de
mes comptes IMAP.
Extrait des log :
Mar 5 21:10:16 serveur authdaemond: pam_unix(imap:auth):
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
user=toto
J'ai enfin trouvé une correspondance dans mail.log :
Mar 5 21:10:18 serveur imapd-ssl: LOGIN FAILED, method=PLAIN,
ip=[::ffff:109.105.195.250]
Par contre fail2ban ne voit rien car son filtre est le suivant :
failregex = ^%(__prefix_line)sLOGIN FAILED, user=.*, ip=\[<HOST>\]$
J'ai donc créé un nouveau jail avec le filtre suivant :
failregex = ^%(__prefix_line)sLOGIN FAILED, method=.*, ip=\[<HOST>\]$
Je vais attendre un peu pour voir si le gars se représente.
Silvère