[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

Luis Alberto Roman Aguirre luisroman80 en hotmail.com
Vie Abr 12 14:31:46 UTC 2013 

Buenas listeros:Mi estimado Diego  revise lo que me pasastes y aun nada, pero me queda la duda cuando haces la prueba con /var/log/secure eso es para todos los servicios?, porque por ejemplo  para el dovecot lo hago con el  /var/log/maillog, pero aun asi probe con los dos y  aun nada. Y les comento  que aun sigo  siendo escaneado  o bien ya no se que pasa. lo Hize en el  pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del  jail.conf lo pegare en pastebin: http://pastebin.com/Qna3gdgP  ,  la parte de dovecot buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui  el codigo sale deformado.esto sale en el testeo espero se pueda ver:[root en mail ~]# fail2ban-client statusStatus|- Number of jail:      6`- Jail list:           proftpd-iptables, dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root en mail ~]# fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file   : /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no matchLook at the above section 'Running tests' which could contain importantinformation.Gracias por su tiempo estimados.
Atte
Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de datos>en	postfix+dovecot
>To: centos-es en centos.org
>Message-ID:
><CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqZSf4vjKPJ3O6Y7hpCfg en mail.gmail.com>
>Content-Type: text/plain; charset=UTF-8
>
>Hola Luis
>Podrías poner la config de fail2ban en algun servicio que respete los
>saltos de linea? (pastebin, por ejemplo)
>Asegurate de eliminar todos los datos de tu server antes...
>
>Comprobaste que este matcheando la regla contra el log?
>Lo haces asi, obviamente, reemplazando donde haga falta>
>
>Mi prueba la hice contra sshd
>
>root en proxy ~/ # fail2ban-client status
>Status
<|- Number of jail: 2
<`- Jail list: apache-badUsersAuth, ssh
>root en proxy ~/ # fail2ban-client status ssh
>Status for the jail: ssh
>|- filter
>| |- File list: /var/log/secure
>| |- Currently failed: 0
>| `- Total failed: 84
>`- action
<|- Currently banned: 5
<| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22
<166.111.230.4 122.226.160.19
>`- Total banned: 5
>root en proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf
>
>Running tests
>=============
>
>Use regex file : /etc/fail2ban/filter.d/sshd.conf
>Use log file : /var/log/secure
>
>[[ mucho mucho texto e ips ]]
>Date template hits:
>92938 hit(s): MONTH Day Hour:Minute:Second
>
>Success, the total number of match is 3181
>
>However, look at the above section 'Running tests' which could contain important
>information.
>root en proxy ~/ #

Más información sobre la lista de distribución CentOS-es