URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4999
[ Назад ]

Исходное сообщение
"Перебор почтовых паролей. Saslauthd. Как узнать IP с которого.."
Отправлено kl , 21-Фев-12 11:10

На почтовом сервере ежедневно идет перебор паролей. В логах security много-много вот таких строчек:
Feb 18 08:06:56 mail saslauthd[937]: do_auth : auth failure: [user=admin] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
saslauthd эти попытки отмечает, но как узнать IP с которого идет этот перебор ? Подскажите плиз где копать?
P.S OS FreeBSD 7.x, почта Cyrus,sendmail

Содержание

Перебор почтовых паролей. Saslauthd. Как узнать IP с которого..,Andrey Mitrofanov, 11:32 , 21-Фев-12
- Перебор почтовых паролей. Saslauthd. Как узнать IP с которого..,kl, 11:47 , 21-Фев-12
  - Перебор почтовых паролей. Saslauthd. Как узнать IP с которого..,PavelR, 11:52 , 21-Фев-12
    - Перебор почтовых паролей. Saslauthd. Как узнать IP с которого..,kl, 11:59 , 21-Фев-12
      - Перебор почтовых паролей. Saslauthd. Как узнать IP с которого..,PavelR, 13:41 , 21-Фев-12

Сообщения в этом обсуждении

"Перебор почтовых паролей. Saslauthd. Как узнать IP с которого.."
Отправлено Andrey Mitrofanov , 21-Фев-12 11:32

В логе сервера pop3??

"Перебор почтовых паролей. Saslauthd. Как узнать IP с которого.."
Отправлено kl , 21-Фев-12 11:47

> В логе сервера pop3??
Иван Семеныч, Иван Семеныч! Что-то я сразу не подумал об этом !
Спасибо Вам за наводку!
root@mail# bzcat imapd.log.2.bz2
Feb 18 13:14:53 mail pop3[87406]: badlogin: c-68-47-4-204.hsd1.ga.comcast.net
[68.47.4.204] plaintext webadmin SASL(-13): authentication failure: checkpass failed
root@mail# bzcat imapd.log.2.bz2 | grep "checkpass failed" | wc -l
47662

"Перебор почтовых паролей. Saslauthd. Как узнать IP с которого.."
Отправлено PavelR , 21-Фев-12 11:52

>> В логе сервера pop3??
> Иван Семеныч, Иван Семеныч! Что-то я сразу не подумал об этом !
> Спасибо Вам за наводку!
> root@mail# bzcat imapd.log.2.bz2
> Feb 18 13:14:53 mail pop3[87406]: badlogin: c-68-47-4-204.hsd1.ga.comcast.net
> [68.47.4.204] plaintext webadmin SASL(-13): authentication failure: checkpass failed
> root@mail# bzcat imapd.log.2.bz2 | grep "checkpass failed" | wc -l
> 47662
Откройте себя fail2ban

"Перебор почтовых паролей. Saslauthd. Как узнать IP с которого.."
Отправлено kl , 21-Фев-12 11:59

> Откройте себя fail2ban
Я для себя давным-давно открыл Perl и sh, но я все равно посмотрю fail2ban. Спасибо!

"Перебор почтовых паролей. Saslauthd. Как узнать IP с которого.."
Отправлено PavelR , 21-Фев-12 13:41

>> Откройте себя fail2ban
> Я для себя давным-давно открыл Perl и sh, но я все равно
> посмотрю fail2ban. Спасибо!
perl, sh, и иже с ними - это круто, сам пользуюсь.
Но fail2ban - готовый массовый солюшен, который работает, содержит много предконфигуренного "из коробки", нужно только включить.
В общем, самое оно.