作者 主題: 出現可以透過dovecot入侵系統的漏洞了嗎?  (閱讀 12201 次)

0 會員 與 1 訪客 正在閱讀本文。

tatama

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
我有一部主機採用Fedora core4,
前天在 Logwatch 裡面出現了以下的訊息:

--------------------- pam_unix Begin ------------------------

dovecot:
   Authentication Failures:
       rhost= : 3376 Time(s)
      root: 10 Time(s)
      sshd: 1 Time(s)
   Unknown Entries:
      check pass; user unknown: 3376 Time(s)
      bad username []: 2 Time(s)


---------------------- pam_unix End -------------------------

主機狀況:sshd功能關閉,同時FTP功能透過iptables只接受來自內部網域192.168.*.*,
另外開啟httpd及dovecot sendmail,及DNS 服務其他都關閉。

上面的訊息看起來似乎是郵件的問題,
是不是有人嘗試透過dovecot入侵ssh?
是這樣解釋嗎?
還是我誤解上面的意思了?

leo52668

  • 可愛的小學生
  • *
  • 文章數: 6
    • 檢視個人資料
dovecot:
   Authentication Failures:
       rhost= : 3376 Time(s)
      root: 10 Time(s)
      sshd: 1 Time(s)
   Unknown Entries:
      check pass; user unknown: 3376 Time(s)
      bad username []: 2 Time(s)

我想應該只是紀錄到有人透過你的dovecot在猜rhost這個帳號的密碼吧!?
不知道我猜的對不對咧!...
我想如果被入侵了應該記錄會被清除吧...當然也也可能他忘了 :)

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
我也遇到一樣的狀況,不知道有方法可以避免的嗎  ><

小弟會用上班時間偷偷找資料,有什麼消息的話再來分享一下

補充一下:

在logwatch中最後的Connections (secure-log) Begin

會有**Unmatched Entries**
dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user lady@mail.company.com.tw
一樣的內容出現24行
跟前面的dovecot:  Unknown Entries:
      check pass; user unknown: 24 Time(s)
筆數相符,應該就是這個吧。

lady 是我們大陸公司會計的帳號,並且每天都有固定24筆嘗試→這個我猜可能是為了避免過多會引"人"注意吧
來試的幾個IP 都是大陸qq 來的 ><"

不過在以前的話,dovecot-auth: pam_succeed... 那行則是出現我們台灣公司的會計的帳號,筆數也差不多是24左右吧(忘了)
也就是最後一個加入的mail 帳號,是被嘗試的對象。

dovecot 的版本是1.0.7-2.e15
OS 是centOS5.0
kernal 是2.6.18-92.e15

以上狀況報告完畢,接來下就要拜請google 大神了~

« 上次編輯: 2010-02-09 09:25 由 redjack »
Knowledge is Power

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5417
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
電腦不要放到 internet 就可以避免. (不過 mail server 不放到 internet 要怎麼用?)
不然只允許 imap/pop 在內部使用, 不允許員工由外頭連進來收信吧

只要有那個需求, 就得放到公開網路上頭, 自然不能避免 bot 來試密碼.

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
有找到說防止暴力攻擊的軟體了,目前還在考慮有沒有其他方案。

不過小弟比較好奇的是:

1) 為什麼對方知道我們mail list 裡最後一個帳號?
2) check pass; user unknown: …這一行 為什麼是check Pass了
Knowledge is Power

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5417
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
一般來說, bot 的帳號密碼是隨機在猜的. 如果你只有某位使用者一直被 try, 就比較不像那種無特定目的的攻擊...
也許該帳號有跟人家結仇吧.... 如果來源 ip 都一樣, 也許是該帳號的使用者在某台機器設定了 email client, 但是密碼弄錯, 所以隔一陣子會來連線一次吧.

check pass, 應該是指檢查 password, 不是已通過檢查.

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
之前是台灣會計被retry, 現在是大陸會計
二位我都有問過,是不是密碼有問題 但是都回覆用的好好的,並且來源IP都不同

只是我測了幾個都是qq 來的~

所以我蠻好奇的,對方怎麼得到這個帳號的?

check pass, 應該是指檢查 password, 不是已通過檢查.

原來是我會錯意 二種解釋差很大 .. OTZ
Knowledge is Power