我收到了很多类似这样的日志条目:
Jan 10 10:31:24 auth: Info: passwd-file(management,91.200.12.140): no passwd file: /etc/exim/domains//passwd
Jan 10 10:32:14 auth: Info: passwd-file(scanner,91.200.13.24): no passwd file: /etc/exim/domains//passwd
Jan 10 10:36:49 auth: Info: passwd-file(finance,91.200.12.166): no passwd file: /etc/exim/domains//passwd
Jan 10 10:38:24 auth: Info: passwd-file(accounts,91.200.12.165): no passwd file: /etc/exim/domains//passwd
它们都在该范围内91.200.12.*,或者91.200.13.*有许多关于恶意机器人活动的报告(例子)。它尝试访问的用户名在我的系统上不存在:大概它是一个探测机器人,通过查看它得到的错误类型或返回来找出存在的用户。
这与失败的登录尝试完全不同,我在日志中记录了一些失败的登录尝试,并附有额外的一行,如下所示:
mmm dd HH:MM:SS auth: Info: passwd-file(username@domain_name.com,XX.XX.XX.XX): no passwd file: /etc/exim/domains/domain_name.com/passwd
mmm dd HH:MM:SS pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<username@domain_name.com>, method=PLAIN, rip=XX.XX.XX.XX, lip=YY.YY.YY.YY
91.200.12.0/24我已经为91.200.13.0/24所有邮件相关端口添加了 iptables 规则,但这些日志条目仍然不断出现。我有fail2ban,但他们通过缓慢探测和改变经常使用的IP地址来绕过它,同一个IP地址很少在几天/几周内使用两次。
我想做的是解码这些 dovecot 日志条目并找出该机器人让 Dovecot 实际执行的操作,这样我就可以弄清楚如何关闭它(因为无论它是什么,IPtables 似乎并没有真正阻止它)。
显然,机器人正在寻找 passwd 文件(并且做得很糟糕,因为它们缺少来自 的域名/etc/exim/domains/some_domain.com/passwd),并且显然,它正在使用某种远程访问 dovecot 服务或功能来执行此操作。日志条目后面可能包含哪些 Dovecot 服务或功能,auth: Info: passwd-file但没有伴随的登录尝试条目?
我已经浏览过鸽舍文档在记录等等验证但找不到任何可以回答这个问题的东西。
更新:我尝试添加auth_debug=yes然后dovecot.conf重新启动 Dovecot,看看是否可以获得有关所发生情况的更多信息。这是一个更详细的示例,说明了机器人的功能 - 更多信息,但我仍然无法弄清楚它的含义。看起来它以某种方式能够在不登录的情况下访问一些可用的信息,这自然是我想要关闭的东西:
Jan 10 21:32:19 auth: Debug: Loading modules from directory: /usr/lib64/dovecot/auth
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libauthdb_ldap.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_sqlite.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libmech_gssapi.so
Jan 10 21:32:19 auth: Debug: auth client connected (pid=13335)
Jan 10 21:32:19 auth: Debug: client in: AUTH 1 LOGIN service=smtp rip=91.200.13.22 lip=MY.IP.ADD.RS nologin resp=<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT 1 RAnD0mTxT8y9
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT 1 8y9rAND0MtXt
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Info: passwd-file(bar,91.200.13.22): no passwd file: /etc/exim/domains//passwd
Jan 10 21:32:19 auth: Debug: client out: FAIL 1 user=bar
“bar”似乎只是另一个随机可能的用户名,如我之前的示例中的“management”、“scanner”、“finance”和“accounts”。
答案1
我发现他们正在使用欺骗服务来隐藏真实的痕迹:
2017-01-16 18:01:59 找不到主机 vps863.hidehost.net 的 IP 地址(在来自 [91.200.12.140] 的 SMTP 连接期间)2017-01-16 18:02:02 dovecot_login 身份验证器失败(用户)[ 91.200.12.140]:535 身份验证数据不正确 (set_id=ftpuser) 2017-01-16 18:02:38 找不到主机 dedic867.hidehost.net 的 IP 地址(在来自 [91.200.13.25] 的 SMTP 连接期间)2017-01- 16 18:02:40 dovecot_login 身份验证器失败(用户)[91.200.13.25]:535 身份验证数据不正确 (set_id=jimmy) 2017-01-16 18:03:09 找不到 IP 地址 148.153.1.90 的主机名
答案2
我在相同的 IP 上遇到了完全相同的问题。此 IP 已分配给 UKRAINE 上的 www.vhoster.net
inetnum: 91.200.12.0 - 91.200.15.255
netname: VHOSTER-NET
org: ORG-PS152-RIPE
remarks:
remarks: **********************************Attention***************************************
remarks: The pool is used other Department!
remarks: In case of questions related to SPAM, HACKING, SECURITY
remarks: Please contact directly [email protected]
remarks: tel: +38 (044) 379-28-50; +7 (499) 404-16-45
remarks: ***********************************************************************************
remarks:
country: UA
admin-c: JCK
tech-c: JCK
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-by: VHOSTER-MNT
mnt-by: GLUBINA-MNT
mnt-routes: VHOSTER-MNT
mnt-domains: VHOSTER-MNT
created: 2007-09-21T12:32:02Z
last-modified: 2016-12-21T11:04:26Z
source: RIPE
organisation: ORG-PS152-RIPE
org-name: PP SKS-LUGAN
org-type: LIR
address: Lenina
address: 93400
address: Sev
address: UKRAINE
phone: +380665258035
fax-no: +380665258035
e-mail: [email protected]
admin-c: TAU-RIPE
abuse-c: AR17440-RIPE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: LUGAN-MNT
mnt-by: RIPE-NCC-HM-MNT
mnt-by: LUGAN-MNT
created: 2013-09-25T08:41:49Z
last-modified: 2016-07-11T07:26:07Z
source: RIPE