iT邦幫忙

0

linux smtp 被試著登入的訊息

 pam_succeed_if(smtp:auth): error retrieving information about user office
 pam_unix(smtp:auth): check pass; user unknown
 pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
 pam_succeed_if(smtp:auth): error retrieving information about user office
 pam_unix(smtp:auth): check pass; user unknown
 pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
 pam_succeed_if(smtp:auth): error retrieving information about user office
 pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=ftp

如上,雖然都失敗,但看了怕怕,想說直接從防火牆給他封了,但找不到哪裡有ip可以查看的log?

請指教

2 個回答

12
wiseguy
iT邦超人 1 級 ‧ 2011-12-06 13:56:50
最佳解答

話說樓主連用什麼 mail daemon 也沒講,誰會知道 log 在哪裡?

安裝一個 fail2ban 套件,到 /etc/fail2ban/jail.conf 設定檔中,打開你所使用的 mail daemon 設定即可。它會運用 iptables 幫你阻擋。

不過如果你用的 mail daemon 不在預設設定裡,那就要自己寫一個監看 log 檔的 filter。

vino1 iT邦大師 1 級 ‧ 2011-12-06 14:20:17 檢舉

這邊有教學, 不然 google 一下也有
http://net.nthu.edu.tw/2009/security:fail2ban

我是用centos 5.5 sendmail

fail2ban 之前有做過,但是老是做不起來,故放棄

這個服務我一直有在用,一開始在建的時候有擋住一些東西,但是後來可能因為我把port都關了
只留必要的服務,所以都沒有收到被攻擊的訊息

但是您提起了,我就再檢查一下,為何會沒起作用

我發現我原本設的檔sasl的路徑是 /var/log/maillog
但是我查看後,被攻擊的訊息是記錄在 /var/log/secure

所以把它改了,希望能起作用,卜口手

我用centos 5.5 sendmail

failwban原本就有在用,只是不曉得為什麼沒用

剛去檢查一下,發現我的擋原本設定是 /var/log/maillog
但是被攻擊的訊息是記錄在 /var/log/secure

不知這樣對否,請您再指點一下,

12
yyliu
iT邦研究生 2 級 ‧ 2011-12-07 09:12:10

我是來亂的!
有許多 IT 人認為 Linux 安全又免費,看看網站,按圖施工,保證成功.
自認裝起來就可以跑了,也不裝防毒軟體,甚至網路卡直接對外,防火牆也不用設....

結果沒多久,還是死給你看, SMTP 就是 Port 25,有心要攻擊,才不管你的 SMTP 是 Windows 或 Linux 或其他平台. 做好網路安全才是最重要.

我要發表回答

立即登入回答