Eu recebi muitas entradas de log que se parecem com isso:
Jan 10 10:31:24 auth: Info: passwd-file(management,91.200.12.140): no passwd file: /etc/exim/domains//passwd
Jan 10 10:32:14 auth: Info: passwd-file(scanner,91.200.13.24): no passwd file: /etc/exim/domains//passwd
Jan 10 10:36:49 auth: Info: passwd-file(finance,91.200.12.166): no passwd file: /etc/exim/domains//passwd
Jan 10 10:38:24 auth: Info: passwd-file(accounts,91.200.12.165): no passwd file: /etc/exim/domains//passwd
Eles estão todos no intervalo 91.200.12.*
ou 91.200.13.*
, que tem muitos relatórios sobre atividades de bots de aparência mal-intencionada ( exemplo ). Os nomes de usuário que ele está tentando acessar não existem no meu sistema: presumivelmente, é um bot investigador, procurando descobrir o que os usuários existem, vendo que tipo de erro ou retorno ele recebe.
É bem diferente de uma tentativa de login com falha, que eu tenho em alguns dos logs e acompanhada por uma linha extra, como esta:
mmm dd HH:MM:SS auth: Info: passwd-file(username@domain_name.com,XX.XX.XX.XX): no passwd file: /etc/exim/domains/domain_name.com/passwd
mmm dd HH:MM:SS pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<username@domain_name.com>, method=PLAIN, rip=XX.XX.XX.XX, lip=YY.YY.YY.YY
Eu adicionei regras de iptables para 91.200.12.0/24
e 91.200.13.0/24
para todas as portas relacionadas a email, mas essas entradas de log ainda continuam chegando. Eu tenho fail2ban mas eles contornar isso sondando lentamente e variando o endereço IP usado com freqüência, o mesmo endereço IP exato é raramente usado duas vezes em dias / semanas.
O que eu estou tentando fazer, é decodificar essas entradas de log dovecot e descobrir o que esse bot está fazendo para o Dovecot , então eu posso descobrir como desligá-lo (desde seja o que for, o IPtables parece surpreendentemente, na verdade, não o impede).
Obviamente, os bots estão procurando arquivos passwd (e fazendo um trabalho ruim, já que estão perdendo os nomes de domínio de /etc/exim/domains/some_domain.com/passwd
) e, obviamente, ele está usando algum tipo de serviço ou recurso dovecot de acesso remoto para fazer assim. Qual é o serviço ou recurso Dovecot que pode estar por trás de uma entrada de log auth: Info: passwd-file
sem nenhuma entrada de tentativa de login?
Examinei os documentos do Dovecot em logging e na autenticação , mas não encontramos nada que pudesse responder à pergunta.
Atualização: Tentei adicionar auth_debug=yes
a dovecot.conf
e, em seguida, reiniciei o Dovecot para ver se consigo obter mais informações sobre o que está acontecendo. Aqui está um exemplo mais detalhado do que o bot está fazendo - muito mais informações, mas eu ainda não consigo entender o que isso significa. Parece que, de alguma forma, é possível acessar algumas informações úteis sem fazer login, o que é naturalmente algo que desejo encerrar:
Jan 10 21:32:19 auth: Debug: Loading modules from directory: /usr/lib64/dovecot/auth
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libauthdb_ldap.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_sqlite.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libmech_gssapi.so
Jan 10 21:32:19 auth: Debug: auth client connected (pid=13335)
Jan 10 21:32:19 auth: Debug: client in: AUTH 1 LOGIN service=smtp rip=91.200.13.22 lip=MY.IP.ADD.RS nologin resp=<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT 1 RAnD0mTxT8y9
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT 1 8y9rAND0MtXt
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Info: passwd-file(bar,91.200.13.22): no passwd file: /etc/exim/domains//passwd
Jan 10 21:32:19 auth: Debug: client out: FAIL 1 user=bar
"barra" parece ser apenas outro nome de usuário aleatório, como "gerenciamento", "scanner", "finanças" e "contas" no meu exemplo anterior.