Ajuda! Servidor Linux sob ataque SMTP SASLAUTHD!

Question

Ajuda! Servidor Linux sob ataque SMTP SASLAUTHD!

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)

2

Meu servidor sendmail do linux está sendo forçado a sair da comissão por uma inundação de logins smtp saslauthd inválidos.
Corrente constante de erros de autenticação do PAM registrados para o saslauthd em mensagens.
Eu pesquisei e procurei uma maneira de determinar o IP para que eu possa bloqueá-lo ... sem sorte.
O IP não está sendo registrado nas mensagens ou logs seguros.
Qualquer conselho seria muito apreciado.

smtp linux saslauthd

por xivix 16.06.2011 / 21:36

5 respostas

Tags smtp linux saslauthd

Excluindo impressoras de rede compartilhadas de contas de usuário no XP Restaurando o backup do SQL Server para o SQL Azure no SQL Management Studio

score 3 · Answer 1

Isso pode ajudar: Bloqueio de ataques de força bruta de autenticação SMTP usando o Fail2Ban

score 2 · Answer 2

Você precisa aumentar o LogLevel para 10 ou mais. Olhe em sendmail.mc ou coloque algo como define ( confLOG_LEVEL', 10 ') dnl

Isso registrará o número IP em falhas de autenticação.

score 1 · Answer 3

Descobri que há entradas de log correspondentes em /var/log/mail.log que contêm o endereço IP do invasor e, portanto, podem ser bloqueadas com o fail2ban (pelo menos no Ubuntu 14.04). Tente procurar "Falha na autenticação do LOGIN do SASL".

score 0 · Answer 4

O Sendmail registra no recurso LOG_MAIL , que geralmente é enviado para algo como /var/log/mail ou /var/log/maillog , dependendo do sistema operacional. Consulte o seu local /etc/syslog.conf para detalhes. Você pode encontrar algo útil lá.

Se isso não funcionar, você pode usar o tcpdump para descobrir quem está se conectando ao seu sistema. Se você executar assim:

# tcpdump -i <interface> -n port 25

Você receberá uma lista de tráfego na porta 25, que será parecida com esta:

15:41:07.974013 IP 192.168.1.20.58973 > 192.168.1.20.25: Flags [S], seq 3814195426, win 65535, options [mss 16344,nop,wscale 3,sackOK,TS val 393331165 ecr 0], length 0
15:41:07.974041 IP 192.168.1.20.25 > 192.168.1.20.58973: Flags [S.], seq 538844273, ack 3814195427, win 65535, options [mss 16344,nop,wscale 3,sackOK,TS val 3794784629 ecr 393331165], length 0

Isso é um timestamp, depois um protocolo, depois o endereço IP de origem o endereço IP de destino. Isso deve dar o que você precisa.

Você também pode obter algo semelhante usando o comando netstat :

netstat -an | grep :25

Isso deve mostrar as conexões na porta 25 do seu sistema local.

Há uma variedade de mecanismos para conexões smtp limitadoras de taxa por endereço de origem ou para bloqueio de endereços com uma alta taxa de falhas de autenticação. Você pode usar iptables para o primeiro ou algo como fail2ban para o último.

score 0 · Answer 5

isso é um pouco tarde, mas estou certo de que o saslauthd não registra o endereço IP por causa de alguma limitação na biblioteca saslauthd e sua implementação.

No entanto, até onde sei, o Sendmail NÃO grava o IP, e você pode apontar o fail2ban ao invés disso, escrevendo uma regra para o Sendmail, em vez de usar a cadeia saslauthd fornecida.