[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

tino en hostigal.com tino en hostigal.com
Vie Abr 12 14:45:43 UTC 2013 

Por favor dejen de enviarme estos correos tan raros, gracias.


Luis Alberto Roman Aguirre <luisroman80 en hotmail.com> escribió:

> Buenas listeros:Mi estimado Diego  revise lo que me pasastes y aun  
> nada, pero me queda la duda cuando haces la prueba con  
> /var/log/secure eso es para todos los servicios?, porque por ejemplo  
>  para el dovecot lo hago con el  /var/log/maillog, pero aun asi  
> probe con los dos y  aun nada. Y les comento  que aun sigo  siendo  
> escaneado  o bien ya no se que pasa. lo Hize en el  pastebin... aqui  
> esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el  
> fail2ban ni lo detecto ,la configuracion del  jail.conf lo pegare en  
> pastebin: http://pastebin.com/Qna3gdgP  ,  la parte de dovecot  
> buscando en internet encontre una configuracion de dovecto-pop3imap,  
> pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf  
> es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si  
> pego por aqui  el codigo sale deformado.esto sale en el testeo  
> espero se pueda ver:[root en mail ~]# fail2ban-client statusStatus|-  
> Number of jail:      6`- Jail list:           proftpd-iptables,  
> dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper,  
> vsftpd-notification, vsftpd-iptables[root en mail ~]# fail2ban-regex  
> /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning  
> testsUse regex file :  
> /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file   :  
> /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0  
> totalSummarySorry, no matchLook at the above section 'Running tests'  
> which could contain importantinformation.Gracias por su tiempo  
> estimados.
> Atte
> Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de  
> datos>en	postfix+dovecot
>> To: centos-es en centos.org
>> Message-ID:
>> <CAJ8aDpBPCXD7QPwyZzYqn8CQGt=xeeqZSf4vjKPJ3O6Y7hpCfg en mail.gmail.com>
>> Content-Type: text/plain; charset=UTF-8
>>
>> Hola Luis
>> Podrías poner la config de fail2ban en algun servicio que respete los
>> saltos de linea? (pastebin, por ejemplo)
>> Asegurate de eliminar todos los datos de tu server antes...
>>
>> Comprobaste que este matcheando la regla contra el log?
>> Lo haces asi, obviamente, reemplazando donde haga falta>
>>
>> Mi prueba la hice contra sshd
>>
>> root en proxy ~/ # fail2ban-client status
>> Status
> <|- Number of jail: 2
> <`- Jail list: apache-badUsersAuth, ssh
>> root en proxy ~/ # fail2ban-client status ssh
>> Status for the jail: ssh
>> |- filter
>> | |- File list: /var/log/secure
>> | |- Currently failed: 0
>> | `- Total failed: 84
>> `- action
> <|- Currently banned: 5
> <| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22
> <166.111.230.4 122.226.160.19
>> `- Total banned: 5
>> root en proxy ~/ # fail2ban-regex /var/log/secure  
>> /etc/fail2ban/filter.d/sshd.conf
>>
>> Running tests
>> =============
>>
>> Use regex file : /etc/fail2ban/filter.d/sshd.conf
>> Use log file : /var/log/secure
>>
>> [[ mucho mucho texto e ips ]]
>> Date template hits:
>> 92938 hit(s): MONTH Day Hour:Minute:Second
>>
>> Success, the total number of match is 3181
>>
>> However, look at the above section 'Running tests' which could  
>> contain important
>> information.
>> root en proxy ~/ #
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>

Más información sobre la lista de distribución CentOS-es