Ripetuti errori di login e blocco degli IP

Tutti i Shared Servers di LineaHosting utilizzano sistemi che prevengono gli attacchi di tipo brute-force sugli accessi ai principali servizi. Si tratta di attacchi molto comuni e con frequenza giornaliera, perchè vengono eseguiti in automatico da una miriade di computer e server compromessi (le cosiddette "botnet") che scandagliano il Web alla costante ricerca di nuovi sistemi e nuovi accessi da compromettere.

In cosa consiste un attacco "Brute-Force"?

Il principio è molto semplice e si basa sulla possibilità di tentare un'infinità di combinazioni di password, soprattutto basate su parole di dizionario, fino ad individuare quella valida. Se la matematica ci dice che una combinazione di caratteri e numeri casuale e sufficientemente lunga (almeno 8-10) è praticamente impossibile da individuare con questo metodo perchè richiederebbe una quantità troppo elevata di combinazioni, è pur vero che purtroppo molti utenti meno esperti di aspetti di sicurezza informatica spesso scelgono password mnemoniche troppo semplicio addirittura composte da parole e nomi facilmente identificabili.

L'importanza del "ban" e dei sistemi anti Brute-Force attivi sui nostri Server...

Per scongiurare o limitare il più possibile i rischi di una violazione di caselle email e accessi FTP anche nel caso di password troppo semplici, i nostri Server utilizzano sistemi di sicurezza che analizzano in tempo reale eventi come un login fallito e provvedono a bannare (cioè bloccare l'indirizzo IP di origine) le fonti da cui provengono attività sospette come ad esempio l'eccessiva ripetizione di tentativi di accesso con username o password errate.
Se da un lato questo è un grosso vantaggio per i nostri Clienti, per evitare spiacevoli e involontari blocchi verso i legittimi titolari del servizio, è necessario avere l'accortezza di mantenere aggiornate le password di accesso ai vari servizi o caselle email. Se la password di accesso ad un servizio (casella email, accesso FTP o altro) è stata smarrita o dimenticata e non è recuperabile, è importante non ripetere i tentativi di accesso con combinazioni di password, ma provvedere invece al reset della password tramite il pannello di controllo che vi è stato fornito. L'eventuale blocco del proprio indirizzo IP è comunque temporaneo e viene rimosso automaticamente dal server dopo un periodo variabile, almeno fino a quando non viene ripetuto nel tempo.

Per qualsiasi eventuale problema riguardante blocchi di accesso, lo Staff tecnico è a tua disposizione per aiutarti a risolverlo!


Esempio di attacco Brute-Force (distribuito) su accessi POP3 a una casella email

Eventi come questo registrato e riportato di seguito sono purtroppo molto frequenti. Si intuisce facilmente il vantaggio di disporre di servizi di Hosting in grado di intercettare e neutralizzare questo tipo di attacchi. Per ragioni di privacy alcuni dati riportati di seguito sono stati alterati.

Time:     Oct xx 15:59:17 2017 +0100
IP:       distributed pop3d attack on account [info@xxxxxxxxx.it]
Failures: 20
Interval: 3600 seconds
Blocked:  Temporary Block

Log entries:

Oct 30 15:56:24 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=202.57.137.114, lip=93.190.xxx.xxx, session=<V7J218RcIczKOYly>
Oct 30 15:58:55 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=222.185.243.10, lip=93.190.xxx.xxx, session=<X6iH4MRcWbneufMK>
Oct 30 15:55:43 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=61.166.141.42, lip=93.190.xxx.xxx, session=</vUR1cRcLAY9po0q>
Oct 30 15:56:31 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=183.65.17.118, lip=93.190.xxx.xxx, session=<CJ/X18Rckoe3QRF2>
Oct 30 15:55:58 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=61.134.52.164, lip=93.190.xxx.xxx, session=<7m751cRcMrM9hjSk>
Oct 30 15:55:23 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 5 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=41.222.13.95, lip=93.190.xxx.xxx, session=<p1mw08Rckq8p3g1f>
Oct 30 15:58:10 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=121.14.67.3, lip=93.190.xxx.xxx, session=<xLXA3cRcZ9R5DkMD>
Oct 30 15:54:18 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=177.54.10.185, lip=93.190.xxx.xxx, session=<DFf6z8RcuYKxNgq5>
Oct 30 15:52:42 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=220.174.209.154, lip=93.190.xxx.xxx, session=<mlY2ysRcw8LcrtGa>
Oct 30 15:54:47 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 7 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=121.14.67.3, lip=93.190.xxx.xxx, session=<P5ln0cRchKZ5DkMD>
Oct 30 15:55:38 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=121.14.67.3, lip=93.190.xxx.xxx, session=<2XC41MRcjbp5DkMD>
Oct 30 15:57:22 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=61.143.130.162, lip=93.190.xxx.xxx, session=<eSDp2sRcDaw9j4Ki>
Oct 30 15:52:35 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=218.90.159.251, lip=93.190.xxx.xxx, session=<lpfiycRco63aWp/7>
Oct 30 15:56:46 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=218.93.21.58, lip=93.190.xxx.xxx, session=<CHjH2MRc2M/aXRU6>
Oct 30 15:53:56 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=69.113.58.178, lip=93.190.xxx.xxx, session=<XFmozsRcMq1FcTqy>
Oct 30 15:57:44 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 2 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=192.3.239.193, lip=93.190.xxx.xxx, session=<ycFH3MRcjO3AA+/B>
Oct 30 15:53:13 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=222.185.243.10, lip=93.190.xxx.xxx, session=<lX4VzMRcZcfeufMK>
Oct 30 15:52:58 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=61.143.130.162, lip=93.190.xxx.xxx, session=<drEsy8Rcq5U9j4Ki>
Oct 30 15:54:34 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=121.14.67.3, lip=93.190.xxx.xxx, session=<Tano0MRcwKV5DkMD>
Oct 30 15:54:03 europa dovecot: pop3-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<info@xxxxxxxxx.it>, method=PLAIN, rip=220.179.61.160, lip=93.190.xxx.xxx, session=<JK8Fz8RcC5vcsz2g>

IP Addresses Blocked:

202.57.137.114 (TH/Thailand/202.57.137.114.sta.isp-thailand.com)
222.185.243.10 (CN/China/-)
61.166.141.42 (CN/China/42.141.166.61.broad.qj.yn.dynamic.163data.com.cn)
183.65.17.118 (CN/China/-)
61.134.52.164 (CN/China/-)
41.222.13.95 (KE/Kenya/-)
121.14.67.3 (CN/China/-)
177.54.10.185 (BR/Brazil/-)
220.174.209.154 (CN/China/-)
61.143.130.162 (CN/China/-)
218.90.159.251 (CN/China/-)
218.93.21.58 (CN/China/-)
69.113.58.178 (US/United States/ool-45713ab2.dyn.optonline.net)
192.3.239.193 (US/United States/192-3-239-193-host.colocrossing.com)
220.179.61.160 (CN/China/-)
  • sicurezza, brute-force, ban, accesso, login
  • 0 Utenti hanno trovato utile questa risposta
Hai trovato utile questa risposta?

Articoli Correlati

Vademecum sicurezza: 10 consigli pratici per rendere più sicuro il tuo Hosting.

Aggiornato il: 15 Aprile 2016 In questo breve e ci auguriamo utile documento, abbiamo stilato un...

Ho smarrito la password Cpanel, E-mail o FTP. Cosa fare?

Come regola generale è bene annotarti in un posto sicuro le password di accesso. Ma soprattutto...

Non riesco ad accedere a CPanel/WHM

Se il dominio associato al piano hosting è attivo, occorre innanzitutto verificare se riesci a...

Ho ricevuto una notifica di abuso con origine un mio dominio. Cosa devo fare?

La sicurezza dei siti web e di tutti i software/script installati all'interno di un account di...