顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


主題 - Acoju

頁: [1]
1
這是這2天Mail log 的一小小段
ct 27 16:05:13 localhost postfix/smtpd[4469]: connect from ca207.calcit.fastwebserver.de[146.0.42.76]
Oct 27 16:05:19 localhost postfix/smtpd[4469]: warning: ca207.calcit.fastwebserver.de[146.0.42.76]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Oct 27 16:05:19 localhost postfix/smtpd[4469]: lost connection after AUTH from ca207.calcit.fastwebserver.de[146.0.42.76]
Oct 27 16:05:19 localhost postfix/smtpd[4469]: disconnect from ca207.calcit.fastwebserver.de[146.0.42.76]
Oct 27 16:06:24 localhost postfix/smtpd[4469]: connect from ca207.calcit.fastwebserver.de[146.0.42.76]
Oct 27 16:06:29 localhost postfix/smtpd[4469]: warning: ca207.calcit.fastwebserver.de[146.0.42.76]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Oct 27 16:06:29 localhost postfix/smtpd[4469]: lost connection after AUTH from ca207.calcit.fastwebserver.de[146.0.42.76]
Oct 27 16:06:29 localhost postfix/smtpd[4469]: disconnect from ca207.calcit.fastwebserver.de[146.0.42.76]
Oct 27 16:06:57 localhost postfix/smtpd[4469]: connect from ca207.calcit.fastwebserver.de[146.0.42.76]
Oct 27 16:07:20 localhost postfix/smtpd[4469]: warning: ca207.calcit.fastwebserver.de[146.0.42.76]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

我不曉得對方在做啥麼???,底下是secure的片段
Fail2ban也擋不了,是不是因爲不是連續的,一分鍾踹一下,有人說不用理這個訊息,是對還是不對

Oct 27 16:11:32 localhost auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=info@hinet.net rhost=146.0.42.76
Oct 27 16:13:08 localhost auth: pam_unix(dovecot:auth): check pass; user unknown
Oct 27 16:13:08 localhost auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=info@hinet.net rhost=146.0.42.76
Oct 27 16:15:07 localhost auth: pam_unix(dovecot:auth): check pass; user unknown
Oct 27 16:15:07 localhost auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=info@hinet.net rhost=146.0.42.76
Oct 27 16:17:53 localhost auth: pam_unix(dovecot:auth): check pass; user unknown

這也不是的的網址跟USER帳號,對方幹麻還要一直踹我的MailServer,
maillog有時還會接着蹦出下面訊息?這是在釣魚嗎??
Oct 27 16:08:30 localhost postfix/qmgr[4604]: 2B92E2238E3: from=<sb@seo.uk.net>, size=621, nrcpt=1 (queue active)
Oct 27 16:08:30 localhost postfix/qmgr[4604]: 91D5D22395B: from=<sb@seo.uk.net>, size=623, nrcpt=1 (queue active)
Oct 27 16:08:30 localhost postfix/smtp[4606]: 2B92E2238E3: host smtp.europe.secureserver.net[188.121.52.56] refused to talk to me: 554 n1plibsmtp01-02.prod.ams1.secureserver.net bizsmtp RBL Reject -Please submit an unblock request <http://unblock.secureserver.net/?ip=59.126.238.72>  <http://x.co/rblbounce>
Oct 27 16:08:30 localhost postfix/smtp[4607]: 91D5D22395B: host smtp.europe.secureserver.net[188.121.52.56] refused to talk to me: 554 n1plibsmtp01-03.prod.ams1.secureserver.net bizsmtp RBL Reject -Please submit an unblock request <http://unblock.secureserver.net/?ip=59.126.238.72>  <http://x.co/rblbounce>
Oct 27 16:08:31 localhost postfix/smtp[4606]: 2B92E2238E3: to=<sb@seo.uk.net>, relay=mailstore1.europe.secureserver.net[188.121.52.56]:25, delay=56074, delays=56073/0.01/1.4/0, dsn=4.0.0, status=deferred (host mailstore1.europe.secureserver.net[188.121.52.56] refused to talk to me: 554 n1plibsmtp01-01.prod.ams1.secureserver.net bizsmtp RBL Reject -Please submit an unblock request <http://unblock.secureserver.net/?ip=59.126.238.72>  <http://x.co/rblbounce>)
Oct 27 16:08:31 localhost postfix/smtp[4607]: 91D5D22395B: to=<sb@seo.uk.net>, relay=mailstore1.europe.secureserver.net[188.121.52.56]:25, delay=55870, delays=55868/0.01/1.4/0, dsn=4.0.0, status=deferred (host mailstore1.europe.secureserver.net[188.121.52.56] refused to talk to me: 554 n1plibsmtp01-03.prod.ams1.secureserver.net bizsmtp RBL Reject -Please submit an unblock request <http://unblock.secureserver.net/?ip=59.126.238.72>  <http://x.co/rblbounce>)

2
Linux 討論版 / postfix問題
« 於: 2014-10-14 17:55 »
maillog顯示
Oct 14 17:27:22 localhost postfix/smtpd[4812]: connect from unknown[37.48.227.195]
Oct 14 17:27:26 localhost postfix/smtpd[4812]: warning: unknown[37.48.227.195]: SASL LOGIN authentication failed: authentication failure
Oct 14 17:27:26 localhost postfix/smtpd[4812]: disconnect from unknown[37.48.227.195]
Oct 14 17:30:46 localhost postfix/anvil[4813]: statistics: max connection rate 1/60s for (smtp:37.48.227.195) at Oct 14 17:27:22
Oct 14 17:30:46 localhost postfix/anvil[4813]: statistics: max connection count 1 for (smtp:37.48.227.195) at Oct 14 17:27:22
Oct 14 17:30:46 localhost postfix/anvil[4813]: statistics: max cache size 1 at Oct 14 17:27:22

Secure log顯示
Oct 14 17:03:37 localhost saslauthd[482]: pam_unix(smtp:auth): check pass; user unknown
Oct 14 17:03:37 localhost saslauthd[482]: pam_unix(smtp:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=

翻了好幾天,有沒有辦法直接reject掉這類IP?

我的設定是:
smtpd_error_sleep_time = 1s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous

#寄信設定
smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
(我測試把 permit_mynetworks,拿到permit_sasl_authenticated,前面,結果外面寄不進來)
smtpd_sender_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_sender,reject_unknown_sender_domain,reject_unknown_client,check_sender_access,hash:/etc/postfix/access
#收信設定
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination

access的設定有加進:
admin@              REJECT
demo@              REJECT
37.48.227    REJECT
也postmap了

3
我的FedoraPC架設mail伺服器,進入某一使用者的Gnome視窗系統下,這個使用者能收(root 跟一些 不能登入的mail帳號)的email,現在我開着Evolution收信,每隔一段時間會自動收信一次,我想請問這樣是不是有被監測到,因而泄漏自己帳號密碼的遺慮?

4
這是一篇以我自己的商業觀點為出發點的想法,以現在的Linux Fedora16視窗跟繪圖整合,架設網頁跟郵件伺服器,來開商行式的設計小公司做網拍的想法,而內容所包含的有系統的選擇,繪圖軟體的使用,伺服器的架設。註:我對PC軟硬體有一定的使用熟練度
我想說開公司一直都是我這個大男人的最高夢想,在我沒有很多金錢做為開繪圖設計工作室,然後把商品網拍的資金為出發點,所以必需考慮很多事項
第一個:在硬體的花費是固定的狀況下,我想裝Linux的視窗系統來用,因為可以省下很多錢,一臺3000多的系統費吧(最近買了最基本的win7home裝給家人用),我從以前有Fedora之後就一直用,到現在用的Fedora16,如果裝一臺Fedora做繪圖文書處理,那系統費也只不過多花了3000多,而我在Fedora裝的繪圖文書軟體Gimp Inkscape Blender Qcad CYMKTool gThumb Photoprint OpenShot(影片編輯)LibreOffice等等,這些軟體也都可以裝在Win7上,所以事實上跟Win7比是不會造成很大的差異壓力,只不過Inkscape的存檔圖檔是SVG,這就是一項很嚴重的選項,微軟的Windows是超級不支援看這個檔的,再者我買的Win7系統能夠重裝幾次也是問題,主機板壞了,系統不能在換板子後馬上轉移,Fedora16可以這樣做,沒有錢,那時間就是金錢,可以多製造幾個設計,而不必在那此為硬體.系統.跟軟體重裝奮戰,Linux Fedora的方便性就可想而知了,尤其到第二個。

第二個:那我繪圖跟文書處理軟體都解決了,再來就只有發揮我的繪圖本領跟我的創意,說實在繪圖研究很久到現在還沒完沒了,是最頭痛的事。然後啦!我要在網路賣創意,我要架WWW伺服器,我架了Apache php+MySQL,Win7也有iii 也可以裝Apache php+MySQL。我還要架Mail伺服器,我在Fedora16裝了Postfix+Dovecot,不用花費金錢的超級夠用的重量伺服器,Win7當然也有免費的郵件伺服,或者也可另外在花更多錢買來裝,但是在視窗下的設定如果跟Win7設定整合不好,很容易就變成開放郵件伺服器,任人傳送廣告信,所以我還是比較信任Linux的Postfix跟Dovecot,開起gedit來編輯自己想要的設定。

第三個:我需要專業的會計軟體記帳,上個月開始研究有啥好用的,試了好幾個能裝在Linux上的,最後選定OpenERP,剛開時不會用,研究了一星期,OpenERP+postgresql裝了好幾遍,一直到開竅了才裝起來,然後另外裝上個沒有資料的商務跟會計的資料庫,變成一個有參考資料跟一個要自己建立資料庫的轉換,把它搞成中文的,然後在來就是輸入建立商品跟適合臺灣的會計系統科目,這種需要自己手動的真的很花時間,比用Win7買會計商務軟體還花時間就是了。

...有錢真的很好!啥都買來裝就好,花錢把事情都交給別人去辦就好。
.....我大概不會這樣,老闆非得是三頭六臂不行的,自己賺錢省錢,把多餘花不完的錢交給老婆去死守就好。

5
Linux 討論版 / 網站的網頁被使用了
« 於: 2011-03-16 11:34 »
我所申請的固定ip去申請了一個Domain,但是有一個別人的Domain卻指向我的ip(那個Domain比我早申請,還要到2012.10才到期吧,中華電信查到的),所以用別人的Domain可以看到我寫的網站所有內容,而別人的Domain不只上了病毒網,還上了這個網址價值多少的網站,連美國的yahoo也亂用別人的Domain一直BOT我的網站,可以用別人的Domain搜尋到我目錄裏的檔案,但是用我的Domain去搜尋同樣的檔案卻搜尋不到。火火火而已。
我想請問linux或apache,有沒有可以只ban掉,那個別人Domain的軟體或設定。
因為向中華電信申訴沒用,用htaccess deny 那個Domain也沒用,把我自己的Domain也擋了,我有裝fail2ban,只不過反應不是很好,用來檔這個別人的Domain,沒什作用,我可不想花錢去換IP喔。
有沒有什麼有效的方法可以試啊!

6
系統安全討論版 / 網頁log的疑問
« 於: 2011-03-11 19:14 »
我有些安全上的疑問,這些log顯示沒有在看我的網頁。
為什麼會顯示連到FBI去了,是我的port 80 被當成 proxy 了嗎?

113.68.16.155 - - [11/Mar/2011:18:25:42 +0800] "GET / HTTP/1.1" 200 3972 "-" "Mozilla/5.0 (FHScan Core 1.1)"
113.68.16.155 - - [11/Mar/2011:18:25:42 +0800] "GET http://www.fbi.gov/ HTTP/1.1" 200 3972 "-" "-"
113.68.16.155 - - [11/Mar/2011:18:25:42 +0800] "CONNECT www.fbi.gov:80 HTTP/1.0" 200 3972 "-" "-"
113.68.16.155 - - [11/Mar/2011:18:25:43 +0800] "GET / HTTP/1.1" 200 3972 "-" "Mozilla/5.0 (FHScan Core 1.1)"
113.68.16.155 - - [11/Mar/2011:18:25:43 +0800] "CONNECT FHSCAN.nonexistent.asdfg:443 HTTP/1Accept-Encoding: gzip, deflate" 200 3972 "-" "-"
113.68.16.155 - - [11/Mar/2011:18:25:46 +0800] "GET http://127.0.0.1:22/ HTTP/1.0" 200 3972 "-" "-"
113.68.16.155 - - [11/Mar/2011:18:25:47 +0800] "GET /FastHTTPAuthScanner200test/ HTTP/1.1" 404 1023 "-" "Mozilla/5.0 (FHScan Core 1.1)"
113.68.16.155 - - [11/Mar/2011:18:25:47 +0800] "GET /admin/ HTTP/1.1" 404 1023 "-" "Mozilla/5.0 (FHScan Core 1.1)"

7
系統Fedora9 x86_64  ???
postfix無selinux時正常可用。所以在進一層研究加上selinux。之後.....第三天開始想解決postfix(之後的第三天)......
在研究後把所有postfix相關檔,除postdrop與postqueue與/var/spool/postfix設(postfix:postdrop)外,皆設為group:root owner:root(原因是被重寫過的main.cf檔權限為 root:root)這好像成了定律 。
目前設定main.cf檔為system_u:object_r:postfix_etc_t,這樣其它的libexec/postfix/* 檔,可以直接指令#/usr/sbin/postfix,使用main.cf而執行postfix正常。
但在平常開機下使用init.d 開postfix,一直無法解決postconf無法使用或亂改main.cf檔的chcon -t 跟-u的問題,而造成postfix無法啟動,請問有沒有人能否告知如何解決postconf的問題!!!!

頁: [1]