酷!學園
歡迎光臨,
訪客
。請
登入
或
註冊帳號
。 您沒有收到
認證信
嗎?
一小時
一天
一週
一個月
永遠
請輸入帳號, 密碼以及預計登入時間
最新消息:
Study Area Facebook粉絲團
http://www.facebook.com/sataiwan
首頁
說明
搜尋
登入
註冊
酷!學園
»
技術討論區
»
系統安全討論版
»
主題:
出現可以透過dovecot入侵系統的漏洞了嗎?
« 上一篇
下一篇 »
列印
頁: [
1
]
作者
主題: 出現可以透過dovecot入侵系統的漏洞了嗎? (閱讀 12201 次)
0 會員 與 1 訪客 正在閱讀本文。
tatama
可愛的小學生
文章數: 2
出現可以透過dovecot入侵系統的漏洞了嗎?
«
於:
2008-06-02 02:30 »
我有一部主機採用Fedora core4,
前天在 Logwatch 裡面出現了以下的訊息:
--------------------- pam_unix Begin ------------------------
dovecot:
Authentication Failures:
rhost= : 3376 Time(s)
root: 10 Time(s)
sshd: 1 Time(s)
Unknown Entries:
check pass; user unknown: 3376 Time(s)
bad username []: 2 Time(s)
---------------------- pam_unix End -------------------------
主機狀況:sshd功能關閉,同時FTP功能透過iptables只接受來自內部網域192.168.*.*,
另外開啟httpd及dovecot sendmail,及DNS 服務其他都關閉。
上面的訊息看起來似乎是郵件的問題,
是不是有人嘗試透過dovecot入侵ssh?
是這樣解釋嗎?
還是我誤解上面的意思了?
記錄
leo52668
可愛的小學生
文章數: 6
回覆: 出現可以透過dovecot入侵系統的漏洞了嗎?
«
回覆 #1 於:
2008-08-28 14:06 »
dovecot:
Authentication Failures:
rhost= : 3376 Time(s)
root: 10 Time(s)
sshd: 1 Time(s)
Unknown Entries:
check pass; user unknown: 3376 Time(s)
bad username []: 2 Time(s)
我想應該只是紀錄到有人透過你的dovecot在猜rhost這個帳號的密碼吧!?
不知道我猜的對不對咧!...
我想如果被入侵了應該記錄會被清除吧...當然也也可能他忘了
記錄
redjack
活潑的大學生
文章數: 426
回覆: 出現可以透過dovecot入侵系統的漏洞了嗎?
«
回覆 #2 於:
2010-02-09 09:11 »
我也遇到一樣的狀況,不知道有方法可以避免的嗎 ><
小弟會用上班時間偷偷找資料,有什麼消息的話再來分享一下
補充一下:
在logwatch中最後的Connections (secure-log) Begin
會有**Unmatched Entries**
dovecot-auth: pam_succeed_if(dovecot:auth): error retrieving information about user lady@mail.company.com.tw
一樣的內容出現24行
跟前面的dovecot: Unknown Entries:
check pass; user unknown: 24 Time(s)
筆數相符,應該就是這個吧。
lady 是我們大陸公司會計的帳號,並且每天都有固定24筆嘗試→這個我猜可能是為了避免過多會引"人"注意吧
來試的幾個IP 都是大陸qq 來的 ><"
不過在以前的話,dovecot-auth: pam_succeed... 那行則是出現我們台灣公司的會計的帳號,筆數也差不多是24左右吧(忘了)
也就是最後一個加入的mail 帳號,是被嘗試的對象。
dovecot 的版本是1.0.7-2.e15
OS 是centOS5.0
kernal 是2.6.18-92.e15
以上狀況報告完畢,接來下就要拜請google 大神了~
«
上次編輯: 2010-02-09 09:25 由 redjack
»
記錄
Knowledge is Power
twu2
管理員
俺是博士!
文章數: 5417
性別:
回覆: 出現可以透過dovecot入侵系統的漏洞了嗎?
«
回覆 #3 於:
2010-02-09 10:40 »
電腦不要放到 internet 就可以避免. (不過 mail server 不放到 internet 要怎麼用?)
不然只允許 imap/pop 在內部使用, 不允許員工由外頭連進來收信吧
只要有那個需求, 就得放到公開網路上頭, 自然不能避免 bot 來試密碼.
記錄
Tommy 碎碎念...
redjack
活潑的大學生
文章數: 426
回覆: 出現可以透過dovecot入侵系統的漏洞了嗎?
«
回覆 #4 於:
2010-02-09 13:11 »
有找到說防止暴力攻擊的軟體了,目前還在考慮有沒有其他方案。
不過小弟比較好奇的是:
1) 為什麼對方知道我們mail list 裡最後一個帳號?
2) check pass; user unknown: …這一行 為什麼是check Pass了
記錄
Knowledge is Power
twu2
管理員
俺是博士!
文章數: 5417
性別:
回覆: 出現可以透過dovecot入侵系統的漏洞了嗎?
«
回覆 #5 於:
2010-02-09 14:08 »
一般來說, bot 的帳號密碼是隨機在猜的. 如果你只有某位使用者一直被 try, 就比較不像那種無特定目的的攻擊...
也許該帳號有跟人家結仇吧.... 如果來源 ip 都一樣, 也許是該帳號的使用者在某台機器設定了 email client, 但是密碼弄錯, 所以隔一陣子會來連線一次吧.
check pass, 應該是指檢查 password, 不是已通過檢查.
記錄
Tommy 碎碎念...
redjack
活潑的大學生
文章數: 426
回覆: 出現可以透過dovecot入侵系統的漏洞了嗎?
«
回覆 #6 於:
2010-02-09 17:59 »
之前是台灣會計被retry, 現在是大陸會計
二位我都有問過,是不是密碼有問題 但是都回覆用的好好的,並且來源IP都不同
只是我測了幾個都是qq 來的~
所以我蠻好奇的,對方怎麼得到這個帳號的?
check pass, 應該是指檢查 password, 不是已通過檢查.
原來是我會錯意 二種解釋差很大 .. OTZ
記錄
Knowledge is Power
列印
頁: [
1
]
« 上一篇
下一篇 »
酷!學園
»
技術討論區
»
系統安全討論版
»
主題:
出現可以透過dovecot入侵系統的漏洞了嗎?