Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Por favor dejen de enviarme estos correos tan raros, gracias. Luis Alberto Roman Aguirre escribió: > Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun > nada, pero me queda la duda cuando haces la prueba con > /var/log/secure eso es para todos los servicios?, porque por ejemplo > para el dovecot lo hago con el /var/log/maillog, pero aun asi > probe con los dos y aun nada. Y les comento que aun sigo siendo > escaneado o bien ya no se que pasa. lo Hize en el pastebin... aqui > esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el > fail2ban ni lo detecto ,la configuracion del jail.conf lo pegare en > pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot > buscando en internet encontre una configuracion de dovecto-pop3imap, > pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf > es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si > pego por aqui el codigo sale deformado.esto sale en el testeo > espero se pueda ver:[root@mail ~]# fail2ban-client statusStatus|- > Number of jail: 6`- Jail list: proftpd-iptables, > dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, > vsftpd-notification, vsftpd-iptables[root@mail ~]# fail2ban-regex > /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning > testsUse regex file : > /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : > /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 > totalSummarySorry, no matchLook at the above section 'Running tests' > which could contain importantinformation.Gracias por su tiempo > estimados. > Atte > Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de > datos>en postfix+dovecot >> To: centos-es@centos.org >> Message-ID: >> >> Content-Type: text/plain; charset=UTF-8 >> >> Hola Luis >> Podrías poner la config de fail2ban en algun servicio que respete los >> saltos de linea? (pastebin, por ejemplo) >> Asegurate de eliminar todos los datos de tu server antes... >> >> Comprobaste que este matcheando la regla contra el log? >> Lo haces asi, obviamente, reemplazando donde haga falta> >> >> Mi prueba la hice contra sshd >> >> root@proxy ~/ # fail2ban-client status >> Status > <|- Number of jail: 2 > <`- Jail list: apache-badUsersAuth, ssh >> root@proxy ~/ # fail2ban-client status ssh >> Status for the jail: ssh >> |- filter >> | |- File list: /var/log/secure >> | |- Currently failed: 0 >> | `- Total failed: 84 >> `- action > <|- Currently banned: 5 > <| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 > <166.111.230.4 122.226.160.19 >> `- Total banned: 5 >> root@proxy ~/ # fail2ban-regex /var/log/secure >> /etc/fail2ban/filter.d/sshd.conf >> >> Running tests >> = >> >> Use regex file : /etc/fail2ban/filter.d/sshd.conf >> Use log file : /var/log/secure >> >> [[ mucho mucho texto e ips ]] >> Date template hits: >> 92938 hit(s): MONTH Day Hour:Minute:Second >> >> Success, the total number of match is 3181 >> >> However, look at the above section 'Running tests' which could >> contain important >> information. >> root@proxy ~/ # > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Buenas listeros:Mi estimado Diego revise lo que me pasastes y aun nada, pero me queda la duda cuando haces la prueba con /var/log/secure eso es para todos los servicios?, porque por ejemplo para el dovecot lo hago con el /var/log/maillog, pero aun asi probe con los dos y aun nada. Y les comento que aun sigo siendo escaneado o bien ya no se que pasa. lo Hize en el pastebin... aqui esta: http://pastebin.com/v4T0rGLX esto paso ayer Jueves.Ahora el fail2ban ni lo detecto ,la configuracion del jail.conf lo pegare en pastebin: http://pastebin.com/Qna3gdgP , la parte de dovecot buscando en internet encontre una configuracion de dovecto-pop3imap, pero aun asi nada.La configuracion de filter.d/dovecot-pop3imap.conf es: http://pastebin.com/XsGErnMr. espero puedan verlos , ya que si pego por aqui el codigo sale deformado.esto sale en el testeo espero se pueda ver:[root@mail ~]# fail2ban-client statusStatus|- Number of jail: 6`- Jail list: proftpd-iptables, dovecot-pop3imap, ssh-iptables, postfix-tcpwrapper, vsftpd-notification, vsftpd-iptables[root@mail ~]# fail2ban-regex /var/log/maillog /etc/fail2ban/filter.d/dovecot-pop3imap.confRunning testsUse regex file : /etc/fail2ban/filter.d/dovecot-pop3imap.confUse log file : /var/log/maillogResultsFailregex: 0 totalIgnoreregex: 0 totalSummarySorry, no matchLook at the above section 'Running tests' which could contain importantinformation.Gracias por su tiempo estimados. Atte Luis Roman>[CentOS-es] Servidor Scaneado por un diccionario de datos>en postfix+dovecot >To: centos-es@centos.org >Message-ID: > >Content-Type: text/plain; charset=UTF-8 > >Hola Luis >Podrías poner la config de fail2ban en algun servicio que respete los >saltos de linea? (pastebin, por ejemplo) >Asegurate de eliminar todos los datos de tu server antes... > >Comprobaste que este matcheando la regla contra el log? >Lo haces asi, obviamente, reemplazando donde haga falta> > >Mi prueba la hice contra sshd > >root@proxy ~/ # fail2ban-client status >Status <|- Number of jail: 2 <`- Jail list: apache-badUsersAuth, ssh >root@proxy ~/ # fail2ban-client status ssh >Status for the jail: ssh >|- filter >| |- File list: /var/log/secure >| |- Currently failed: 0 >| `- Total failed: 84 >`- action <|- Currently banned: 5 <| `- IP list: 200.192.153.132 115.95.166.247 119.134.244.22 <166.111.230.4 122.226.160.19 >`- Total banned: 5 >root@proxy ~/ # fail2ban-regex /var/log/secure /etc/fail2ban/filter.d/sshd.conf > >Running tests >= > >Use regex file : /etc/fail2ban/filter.d/sshd.conf >Use log file : /var/log/secure > >[[ mucho mucho texto e ips ]] >Date template hits: >92938 hit(s): MONTH Day Hour:Minute:Second > >Success, the total number of match is 3181 > >However, look at the above section 'Running tests' which could contain >important >information. >root@proxy ~/ # ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot
Buenas amigos listeros: Pues si estimado creo que que fui parte de esta red de servidores Counter Stryke, te comento que el ssh , lo tengo configurado ya por necesidad ya que el trabajo movil que llevo me fuerza a hacerlo.Pero te dire que lo tengo configurado en otro puerto y ademas solo para que mi usuario pueda conectarse, ademas de no permitir que el root pueda loguearse al principio, aparte edite el archivo /etc/passwd y a los usuarios en vez de tener BASH les puse a FALSE, esta bien esto? o me recomiendas otra cosa?Ya monte una VPn ,pero el drama en conectarme y tener las mismas caracteristicas del ssh, me sigo documentando en eso, aunque con poca fortuna, espero me puedas dar una manito.Gracias por todo.Luis Roman#Estimado una consulta, cuando dices que tomaron posesión de tu servidor,#finalmente se conectaron por ssh con el usuario que mencionas?? veo que #sacaste el historial de la consola bash del usuario en cuestión, es así? #Si tienes el servicio SSH escuchando al mundo, es muy probable que tengas #que lidiar con este tipo de situaciones, quizás debas considerar #implementar una VPN para administrar tu(s) server(s) desde Internet, #investiga sobre OpenVPN que es una buena solución y además debes cerrar el #ervicio SSH a Internet. #Puedes también separar (si las lucas lo permiten) el servicio SMTP del POP #o IMAP que tengas y utilizar usuarios virtuales y autenticarlos contra un #OpenLDAP, además deberías considerar implementar una arquitectura DMZ donde #puedes separar tu FW, Servidores y LAN en zonas distintas, obviamente sólo #si las lucas te lo permiten. #Por lo que vi de las descargas parece estuviste a punto de ser parte una #red de servidores Counter Strike (csservers_redirecte_linux_hlds.tar.gz) y #quizás parte de una red zombie de ataques de negación de servicios (udp.pl). #Saludos! ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor Scaneado por un diccionario de datos en postfix+dovecot (Jose Sabastizagal)
Hola Jose, gracias por la respuesta , lo he probado con ssh que funciona muy bien, pero tambien busque documentacion para el dovecot u otros servicios , pero no lo encuentro sera que no lo soporta??Saludos Luis Roman #Ademas de Fail2ban otra herramienta bastante útil que se complementa es #Denyhosts, para que bloquee las ip al 3er intento de conexión #http://denyhosts.sourceforge.net/ #https://www.digitalocean.com/community/articles/how-to-install-denyhosts-on-centos-6 ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
