Bot оставляет много `auth: Info: passwd-file` Довещает журналы без попыток входа в систему – что делает Dovecot?

Я получаю много записей в журнале, которые выглядят так:

Jan 10 10:31:24 auth: Info: passwd-file(management,91.200.12.140): no passwd file: /etc/exim/domains//passwd Jan 10 10:32:14 auth: Info: passwd-file(scanner,91.200.13.24): no passwd file: /etc/exim/domains//passwd Jan 10 10:36:49 auth: Info: passwd-file(finance,91.200.12.166): no passwd file: /etc/exim/domains//passwd Jan 10 10:38:24 auth: Info: passwd-file(accounts,91.200.12.165): no passwd file: /etc/exim/domains//passwd 

Все они находятся в диапазоне 91.200.12.* Или 91.200.13.* содержит много отчетов о злонамеренной активности бота ( пример ). Имена пользователей, к которым он пытается получить доступ, не существуют в моей системе: предположительно это пробный бот, который хочет узнать, какие пользователи существуют, видя, какой тип ошибки или возврата он получает.

Это сильно отличается от неудачной попытки входа в систему, в которой у меня есть несколько из журналов и сопровождаются дополнительной строкой, например:

 mmm dd HH:MM:SS auth: Info: passwd-file(username@domain_name.com,XX.XX.XX.XX): no passwd file: /etc/exim/domains/domain_name.com/passwd mmm dd HH:MM:SS pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<username@domain_name.com>, method=PLAIN, rip=XX.XX.XX.XX, lip=YY.YY.YY.YY 

Я добавил правила iptables для 91.200.12.0/24 и 91.200.13.0/24 для всех портов, связанных с почтой, но эти записи журнала все еще идут. У меня есть fail2ban, но они обходятся, исследуя медленно и меняя часто используемый IP-адрес, тот же самый точный IP-адрес редко используется дважды в днях / неделях.

То, что я пытаюсь сделать, – это декодировать эти записи журнала dovecot и выработать то, что этот бот заставляет Dovecot на самом деле делать , поэтому я могу потом разобраться, как его закрыть (так как все, что это такое, IPtables неожиданно кажется не на самом деле остановите его).

Очевидно, что боты ищут файлы passwd (и выполняют плохую работу, поскольку им не хватает доменных имен из /etc/exim/domains/some_domain.com/passwd ), и, очевидно, он использует какой-то удаленный доступ dovecot сервис или функция для этого. Что такое служба или функция Dovecot, которая может быть за auth: Info: passwd-file запись в auth: Info: passwd-file без сопровождающей записи входа в систему?

Я просмотрел документы Dovecot при регистрации и аутентификации, но не смог найти ничего, что могло бы ответить на вопрос.


Обновление: я попытался добавить auth_debug=yes в dovecot.conf а затем перезапустить Dovecot, чтобы узнать, могу ли я получить больше информации о том, что происходит. Вот более подробный пример того, что бот до – гораздо больше информации, но я до сих пор не могу понять, что это значит. Похоже, что он каким-то образом может получить доступ к некоторой полезной информации без входа в систему, что, естественно, я хочу закрыть:

 Jan 10 21:32:19 auth: Debug: Loading modules from directory: /usr/lib64/dovecot/auth Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libauthdb_ldap.so Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_sqlite.so Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libmech_gssapi.so Jan 10 21:32:19 auth: Debug: auth client connected (pid=13335) Jan 10 21:32:19 auth: Debug: client in: AUTH 1 LOGIN service=smtp rip=91.200.13.22 lip=MY.IP.ADD.RS nologin resp=<hidden> Jan 10 21:32:19 auth: Debug: client out: CONT 1 RAnD0mTxT8y9 Jan 10 21:32:19 auth: Debug: client in: CONT<hidden> Jan 10 21:32:19 auth: Debug: client out: CONT 1 8y9rAND0MtXt Jan 10 21:32:19 auth: Debug: client in: CONT<hidden> Jan 10 21:32:19 auth: Info: passwd-file(bar,91.200.13.22): no passwd file: /etc/exim/domains//passwd Jan 10 21:32:19 auth: Debug: client out: FAIL 1 user=bar 

«Бар» кажется просто еще одним случайным возможным именем пользователя, таким как «управление», «сканер», «финансы» и «учетные записи» в моем предыдущем примере.

  • Погиб почтой с сигналом 15
  • Аутентификация с помощью dovecot
  • 2 Solutions collect form web for “Bot оставляет много `auth: Info: passwd-file` Довещает журналы без попыток входа в систему – что делает Dovecot?”

    У меня была такая же проблема с теми же IP-адресами. Эти IP-адреса назначены на http://www.vhoster.net на УКРАИНЕ

     inetnum: 91.200.12.0 - 91.200.15.255 netname: VHOSTER-NET org: ORG-PS152-RIPE remarks: remarks: **********************************Attention*************************************** remarks: The pool is used other Department! remarks: In case of questions related to SPAM, HACKING, SECURITY remarks: Please contact directly abuse@vhoster.net remarks: tel: +38 (044) 379-28-50; +7 (499) 404-16-45 remarks: *********************************************************************************** remarks: country: UA admin-c: JCK tech-c: JCK status: ASSIGNED PI mnt-by: RIPE-NCC-END-MNT mnt-by: VHOSTER-MNT mnt-by: GLUBINA-MNT mnt-routes: VHOSTER-MNT mnt-domains: VHOSTER-MNT created: 2007-09-21T12:32:02Z last-modified: 2016-12-21T11:04:26Z source: RIPE organisation: ORG-PS152-RIPE org-name: PP SKS-LUGAN org-type: LIR address: Lenina address: 93400 address: Sev address: UKRAINE phone: +380665258035 fax-no: +380665258035 e-mail: lir@lugalink.net admin-c: TAU-RIPE abuse-c: AR17440-RIPE mnt-ref: RIPE-NCC-HM-MNT mnt-ref: LUGAN-MNT mnt-by: RIPE-NCC-HM-MNT mnt-by: LUGAN-MNT created: 2013-09-25T08:41:49Z last-modified: 2016-07-11T07:26:07Z source: RIPE 

    Я обнаружил, что они используют спуфинговую услугу, чтобы скрыть настоящие следы:

    2017-01-16 18:01:59 нет IP-адреса, найденного для хоста vps863.hidehost.net (во время SMTP-соединения из [91.200.12.140]) 2017-01-16 18:02:02 dovecot_login аутентификатор не удалось (Пользователь) [ 91.200.12.140]: 535 Неверные данные аутентификации (set_id = ftpuser) 2017-01-16 18:02:38 IP-адрес, найденный для хоста dedic867.hidehost.net (во время SMTP-соединения из [91.200.13.25]) 2017-01- 16 18:02:40 Ошибка аутентификации dovecot_login для (Пользователь) [91.200.13.25]: 535 Неверные данные аутентификации (set_id = jimmy) 2017-01-16 18:03:09 имя хоста не найдено для IP-адреса 148.153.1.90

    Linux и Unix - лучшая ОС в мире.