次のログエントリがたくさん表示されます。
Jan 10 10:31:24 auth: Info: passwd-file(management,91.200.12.140): no passwd file: /etc/exim/domains//passwd
Jan 10 10:32:14 auth: Info: passwd-file(scanner,91.200.13.24): no passwd file: /etc/exim/domains//passwd
Jan 10 10:36:49 auth: Info: passwd-file(finance,91.200.12.166): no passwd file: /etc/exim/domains//passwd
Jan 10 10:38:24 auth: Info: passwd-file(accounts,91.200.12.165): no passwd file: /etc/exim/domains//passwd
すべてその範囲に属するか、91.200.12.*悪意のある91.200.13.*ボット活動に関する報告がたくさんあります(はい)。アクセスしようとしているユーザー名が私のシステムに存在しません。おそらく、これは発生または返されるエラーの種類を見て、どのユーザーが存在するのかを調べるプローブボットです。
これは失敗したログイン試行とはまったく異なります。そのうちのいくつかは、以下の追加行を使用して記録しました。
mmm dd HH:MM:SS auth: Info: passwd-file(username@domain_name.com,XX.XX.XX.XX): no passwd file: /etc/exim/domains/domain_name.com/passwd
mmm dd HH:MM:SS pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<username@domain_name.com>, method=PLAIN, rip=XX.XX.XX.XX, lip=YY.YY.YY.YY
91.200.12.0/24すべてのメール関連ポートにiptablesルールを追加しましたが、91.200.13.0/24これらのログエントリは引き続き表示されます。私はFail2banを持っていますが、頻繁に使用されるIPアドレスをゆっくりと検索して変更することで問題を解決します。同じIPアドレスが数日/週以内に2回使用されることはほとんどありません。
私がしたいことはこれらのdovecotログエントリをデコードし、ボットが実際にDovecotに何をするように指示したかを調べてください。だから私はそれをオフにする方法を見つけることができます(なぜならそれが何であれ、IPtablesは実際にそれをブロックするようには思えないからです)。
明らかに、ボットはpasswdファイルを探していて(そしてそのファイルの元のドメイン名が欠落しているのでひどいことをしています/etc/exim/domains/some_domain.com/passwd)、明らかにこれを行うためにリモートアクセスピジョンサービスや機能を使用しています。どの Dovecot サービスまたは機能の後ろにログエントリが表示されますが、auth: Info: passwd-fileログイン試行エントリは含まれない場合がありますか?
私は探索しました鳩の文書存在する記録など。確認するしかし、この質問に対する答えが見つかりません。
修正する:何が起こっているのかについての詳細情報を入手できることを確認するために、Dovecotを追加してから再auth_debug=yes起動してみました。dovecot.conf以下は、ボットが実行する操作のより詳細な例です。より多くの情報がありますが、それはそれが何を意味するのかわかりません。ログインせずに利用可能な情報の一部に何らかの方法でアクセスできるようです。当然、私はこの機能をオフにしたいと思います。
Jan 10 21:32:19 auth: Debug: Loading modules from directory: /usr/lib64/dovecot/auth
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libauthdb_ldap.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_sqlite.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libmech_gssapi.so
Jan 10 21:32:19 auth: Debug: auth client connected (pid=13335)
Jan 10 21:32:19 auth: Debug: client in: AUTH 1 LOGIN service=smtp rip=91.200.13.22 lip=MY.IP.ADD.RS nologin resp=<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT 1 RAnD0mTxT8y9
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT 1 8y9rAND0MtXt
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Info: passwd-file(bar,91.200.13.22): no passwd file: /etc/exim/domains//passwd
Jan 10 21:32:19 auth: Debug: client out: FAIL 1 user=bar
「bar」は、前の例の「management」、「scanner」、「finance」、「accounts」など、任意の可能なユーザー名のようです。
ベストアンサー1
私は彼らが実際の痕跡を隠すためになりすましサービスを使用していることを知りました。
2017-01-16 18:01:59ホストvps863.hidehost.netのIPアドレスが見つかりません([91.200.12.140]でSMTP接続中)2017-01-16 18:02:02 dovecot_login認証者が失敗しました(ユーザー) [91.200 .12.140]: 535 無効な認証データ(set_id=ftpuser) 2017-01-16 18:02:38 ホストdedic867.hidehost.netのIPアドレスが見つかりません要求から)。 2017-01-16 18:02:40 dovecot_login 認証者の失敗 (ユーザー) [91.200.13.25]: 535 無効な認証データ (set_id=jimmy) 2017-01-16 18:03:09 IP アドレス名前が見つかりません。