Usuarios de SPAM [RESOLVIDO]

camun
(usa Ubuntu)

Enviado em 26/04/2013 - 08:20h

Caros amigo, tenho um servidor de email com postfix, dovecot e amavis rodando, porem esses ultimos dias existe diversas tentativas de usuario tentando se logar em meu servidor como podem ver nos logs abaixo, ja tentei bloquer o IP que vi que era o mesmo em todas as conexoes mas nao adianto alguem saberia um forma melhor?


segue log
Apr 26 08:19:17 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<buzz>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:19:21 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<byteme>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:19:03 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<butthead>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:19:07 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<button>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:20:51 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<carl>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:20:55 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<carlos>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:20:59 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<carmen>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:21:04 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<carol>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:21:08 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<carole>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5
Apr 26 08:21:12 mail dovecot: pop3-login: Disconnected (auth failed, 1 attempts): user=<carolina>, method=PLAIN, rip=24.227.55.206, lip=192.168.5.5

camun
(usa Ubuntu)

Enviado em 26/04/2013 - 15:00h

alguem?

stefaniobrunhara
(usa CentOS)

Enviado em 26/04/2013 - 17:29h

Este ip 192.168.5.5 é de lan, não e alguém da sua rede?

Tentar todos podem, o que você precisa é de senha forte!

camun
(usa Ubuntu)

Enviado em 29/04/2013 - 15:01h

amigo esse 192.168.5.5 é meu servidor de email.

camun
(usa Ubuntu)

Enviado em 06/05/2013 - 11:11h

continuo com esse problema ninguem sabe como eu faço para acabar com esse mundo de tentativas ja tentei bloquer o IP do cara pois é o mesmo sempre e mesmo assim continua

stefaniobrunhara
(usa CentOS)

Enviado em 06/05/2013 - 16:40h

O meu servidor tem o mesmo problema, de vez enquanto aparece alguém tentando logar usando o técnica de força/bruta ou lista magica de senha. Eu não me preocupo muito, porque meu servidor tem senhas fortes, como falei no post anterior.

Agora se você quer uma solução para isto, acho que o SNORT é a saída, ele vigia o log do serviço que você quer e ao perceber a tentativa de vários log ele cata o ip e lança uma regra no firewall para bloquear.

O ssh e o pop3 do meu servidor sempre tem isto!


links
http://www.snort.org/
http://www.vivaolinux.com.br/artigo/Snort-avancado-Projetando-um-perimetro-seguro

camun
(usa Ubuntu)

Enviado em 06/05/2013 - 17:36h

bom como nao consegui travar nem no amavis, nem no postfix, nem no spamassasin, criei um regra no FW bloquendo todas as entradas desse IP e pronto, so assim conseguir fazer eles pararem, e agora vai ser assim apareceu algo tentado conectar mil vezes no meu server eu vou bloquear no FW ja ate criei um blacklist dentro do FW para colocar esses IPs.

obrigado a todos pela ajuda.