[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: log dovecot



On Wed, 13 May 2015 10:39:01 +0200
"mxp@adminh.fr" <mxp@adminh.fr> wrote:

> Bonjour la liste,
> 
> Depuis quelques temps je reçois des messages de ce type :
> mail.info.1:May 10 04:28:28 thor dovecot: imap-login: Disconnected (no 
> auth attempts in 3 secs): user=<>, rip=188.138.1.218, lip=xx.xxx.xxx.xx, 
> TLS, session=<L049BLEVnQC8igHa>
> mail.info.1:May 10 04:28:28 thor dovecot: imap-login: Disconnected (no 
> auth attempts in 0 secs): user=<>, rip=188.138.1.218, lip=xx.xxx.xxx.xx, 
> TLS: Disconnected, session=<GehDBLEVhQC8igHa>
> mail.info.1:May 10 04:28:28 thor dovecot: imap-login: Disconnected (no 
> auth attempts in 0 secs): user=<>, rip=188.138.1.218, lip=xx.xxx.xxx.xx, 
> TLS, session=<vZRFBLEV4QC8igHa>
> mail.info.1:May 10 04:28:28 thor dovecot: imap-login: Disconnected (no 
> auth attempts in 0 secs): user=<>, rip=188.138.1.218, lip=xx.xxx.xxx.xx, 
> TLS handshaking: SSL_accept() failed: error:140760FC:SSL 
> routines:SSL23_GET_CLIENT_HELLO:unknown protocol, session=<3mRKBLEVqAC8igHa>

> 
> Ce que je ne comprends pas c'est pourquoi user = quedalle, je n'ai pas 
> souvenir de m'être connecté un peu avant 4h du mat ce jour là.

Si ton IP peut être 188.138.1.218, ça peut venir de chez toi, plus
vraisemblablement d' un robot ou qqechse dans le genre. Ton serveur est
sans doute configuré pour utiliser TLS/SSL et les clients (en l'
occurence 188.138.1.218) n' en veulent pas, d' où pas d'
authentification.

Je dirais volontiers tentatives avortées d' intrusion et/ou d' attaque,
à confirmer par quelqu' un de plus calé.

Vincent

-- 
La musique adoucit-elle les moeurs? Testez-vous sur: 
http://soundcloud.com/ouhena 
http://www.reverbnation.com/koslow 
 


Reply to: