Re: Ataque a servidor smtp
2012/2/25 Carlos Miranda Molina (Mstaaravin) <mstaaravin@gmail.com>:
> 2012/2/25 Victor H De la Luz <itztli@gmail.com>:
>> Feb 25 08:20:09 ip- dovecot: IMAP(contacto): Disconnected: Logged out
>> bytes=85/682
>> Feb 25 08:21:10 ip- dovecot: imap-login: Login: user=<contacto>,
>> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
>> Feb 25 08:21:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
>> bytes=85/682
>> Feb 25 08:22:10 ip- dovecot: imap-login: Login: user=<contacto>,
>> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
>> Feb 25 08:22:10 ip- dovecot: IMAP(contacto): Disconnected: Logged out
>> bytes=85/682
>> Feb 25 08:23:11 ip- dovecot: imap-login: Login: user=<contacto>,
>> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, s
>>
>> No se ni por donde empezar o que deba hacer. Necesito algo de
>> orientacion: ¿Como puedo saber si es un script dentro de mi sistema o
>> es un ataque desde fuera? ¿Como podria saber que fue lo que fallo o
>> como puedo asegurar mi servidor smtp?
>
> Esos logs los ves cuando tienes un webmail (like Squirrelmail)
> instalado en tu servidor, dado que el acceso al server IMAP lo hace
> Apache/nginx, etc siempre vas a ver 127.0.0.1.
>
> Es perfectamente normal, tener ese tipo de logs.
>
> Lo que sí pueden estar haciendo es un ataque de fuerza bruta sobre el
> Squirrelmail (de alli el lapso tan corto de tiempo entre los inicios
> de sesion) deberías protegerlo con fail2ban.
>
> Saludos
>
ok, es lo que sospechaba, por eso mi hosting envio la alerta, estoy
instalando fail2ban, se ve muy bien, es justo lo que necesito, muchas
gracias! Despues envio mas informacion sobre lo que resulte.
--
ItZtLi
Reply to: