[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ataque a servidor smtp



2012/2/25 Victor H De la Luz <itztli@gmail.com>:
> Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
> Feb 25 08:21:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:22:10 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
> Feb 25 08:22:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
> bytes=85/682
> Feb 25 08:23:11 ip- dovecot: imap-login: Login: user=<contacto>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, s
>
> No se ni por donde empezar o que deba hacer. Necesito algo de
> orientacion: ¿Como puedo saber si es un script dentro de mi sistema o
> es un ataque desde fuera? ¿Como podria saber que fue lo que fallo o
> como puedo asegurar mi servidor smtp?

Esos logs los ves cuando tienes un webmail (like Squirrelmail)
instalado en tu servidor, dado que el acceso al server IMAP lo hace
Apache/nginx, etc siempre vas a ver 127.0.0.1.

Es perfectamente normal, tener ese tipo de logs.

Lo que sí pueden estar haciendo es un ataque de fuerza bruta sobre el
Squirrelmail (de alli el lapso tan corto de tiempo entre los inicios
de sesion) deberías protegerlo con fail2ban.

Saludos

-- 
"La Voluntad es el único motor de nuestros logros"
http://ngen.com.ar/blog


Reply to: