Tareas #6463

Usurpación de cuenta en godel sin aviso

Added by Daniel Viñar Ulriksen 26 days ago. Updated 26 days ago.

Status:NuevaStart date:07/16/2020
Priority:NormalDue date:
Assignee:Daniel Viñar Ulriksen% Done:

0%

Category:-Spent time:-
Target version:-

Description

Hoy de mañana la responsable de la cuenta, Joanna Núñez, nos informa:

-------- Mensaje reenviado --------
Asunto:     mail con dificultades
Fecha:     Thu, 16 Jul 2020 10:12:58 -0300
De:     Joanna Núñez <joannanu1318@gmail.com>
Para:     informatica@cut.edu.uy
CC:     Daniel Viñar Ulriksen <dvinar@cci.edu.uy>

Estimados compañeros
Anoche me comuniqué con ustedes porque me aparecen cientos de mails en inglés y ahora ya no puedo entrar a mi correo unidad.extension@cut.edu.uy no se si es virus o qué. Hasta me cambió el nombre, ahora está en inglés. En cuestión de minutos me ingresan entre 800 y 1000 mails, como ustedes podrán ver quizás en el correo...
Y ya no logro entrar, por favor si me ayudan porque dependo de eso para trabajar.
Gracias
Joanna

Al acceder a la cuenta claramente está usurpada, con mensajes en la carpeta enviados (lo que da a sospechar que se accedió por la interfaz web) y lo que observa Joanna son los rebotes en muchos lados.

History

#1 Updated by Daniel Viñar Ulriksen 26 days ago

No es la primera vez que me pasa, en ningún lugar encuentro las IPs de los logins de usurpación.

En particular, en /opt/zombra/log/audit.log, sólo veo entradas como:

2020-07-16 01:01:14,543 WARN  [qtp1225197672-23065:smtp://godel.csic.edu.uy:7073/service/admin/soap/] [name=unidad.extension@cut.edu.uy;ip=164.73.98.28;port=58054;soapId=2515dd6a;] security - cmd=Auth; account=unidad.extension@cut.edu.uy; protocol=soap; error=authentication failed for [unidad.extension@cut.edu.uy], invalid password;

Éxitoso o fracasado, el login registra la ip= (que en este caos es la del servidor mismo), no la oip=. Ésto se discute en este foro. En la 8.09 parecía andar, pero ahora ya no.

#2 Updated by Andrés Pías 26 days ago

En una primer mirada se puede ver que esta cuenta callo en una trampa hace tiempo atras de acuerdo a los intentos de login fallidos registrados en los logs desde hace varios días:

2020-07-11 00:54:32,999 INFO  [qtp1225197672-18394:smtp://godel.csic.edu.uy:7073/service/admin/soap/] [name=unidad.extension@cut.edu.uy;ip=164.73.98.28;port=52178;soapId=1bb70025;] security - Account is lockout, not updating failure time.
2020-07-11 00:54:32,999 WARN  [qtp1225197672-18394:smtp://godel.csic.edu.uy:7073/service/admin/soap/] [name=unidad.extension@cut.edu.uy;ip=164.73.98.28;port=52178;soapId=1bb70025;] security - cmd=Auth; account=unidad.extension@cut.edu.uy; protocol=soap; error=authentication failed for [unidad.extension@cut.edu.uy], invalid password;

#3 Updated by Andrés Pías 26 days ago

En /var/log/auth.log vemos los logs correspondientes a los intentos de conexión fallidos de la fecha/hora 2020-07-16 01:01:14:

Jul 16 01:01:14 godel saslauthd[13105]: zmauth: authenticating against elected url 'https://godel.csic.edu.uy:7073/service/admin/soap/' ...
Jul 16 01:01:14 godel saslauthd[13105]: zmpost: url='https://godel.csic.edu.uy:7073/service/admin/soap/' returned buffer->data='<soap:Envelope xmlns:soap="http:/
/www.w3.org/2003/05/soap-envelope"><soap:Header><context xmlns="urn:zimbra"/></soap:Header><soap:Body><soap:Fault><soap:Code><soap:Value>soap:Sender</soap:Value>
</soap:Code><soap:Reason><soap:Text>authentication failed for [unidad.extension@cut.edu.uy]</soap:Text></soap:Reason><soap:Detail><Error xmlns="urn:zimbra"><Code
>account.AUTH_FAILED</Code><Trace>qtp1225197672-23065:1594872074540:e7cd5c8039e9ec2f</Trace></Error></soap:Detail></soap:Fault></soap:Body></soap:Envelope>', hti
->error=''
Jul 16 01:01:14 godel saslauthd[13105]: auth_zimbra: unidad.extension@cut.edu.uy auth failed: authentication failed for [unidad.extension@cut.edu.uy]
Jul 16 01:01:14 godel saslauthd[13105]: do_auth         : auth failure: [user=unidad.extension@cut.edu.uy] [service=smtp] [realm=cut.edu.uy] [mech=zimbra] [reaso
n=Unknown]

#4 Updated by Andrés Pías 26 days ago

Bueno mirando este foro https://forums.zimbra.org/viewtopic.php?t=59517, llego a la conclusión de que aquí está el pedazo de log donde se puede ver la ip que originó la anterior conexión:

Jul 16 01:01:14 godel postfix/smtps/smtpd[23418]: Anonymous TLS connection established from unknown[193.35.51.13]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Jul 16 01:01:14 godel postfix/postscreen[14041]: CONNECT from [164.40.177.83]:57690 to [164.73.98.28]:25
Jul 16 01:01:14 godel postfix/smtp[31500]: connect to mx2.finspang.se[81.216.34.67]:25: Connection timed out
Jul 16 01:01:14 godel postfix/smtp[31500]: 357D911419C8: to=<anders.bengtson@finspang.se>, relay=none, delay=19501, delays=19440/0.3/61/0, dsn=4.4.1, status=deferred (connect to mx2.finspang.se[81.216.34.67]:25: Connection timed out)
Jul 16 01:01:14 godel postfix/smtp[31510]: connect to reklamguiden.se[194.9.94.86]:25: Connection timed out
Jul 16 01:01:14 godel saslauthd[13105]: zmauth: authenticating against elected url 'https://godel.csic.edu.uy:7073/service/admin/soap/' ...

Also available in: Atom PDF