文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >机器人留下了很多‘`auth: Info: passwd-file`’Dovecot日志而没有登录尝试- Dovecot在做什么?

机器人留下了很多‘`auth: Info: passwd-file`’Dovecot日志而没有登录尝试- Dovecot在做什么?
EN

Unix & Linux用户
提问于 2017-01-10 18:06:48
回答 2查看 680关注 0票数 1

我得到了很多日志条目,如下所示:

代码语言:javascript
复制
Jan 10 10:31:24 auth: Info: passwd-file(management,91.200.12.140): no passwd file: /etc/exim/domains//passwd
Jan 10 10:32:14 auth: Info: passwd-file(scanner,91.200.13.24): no passwd file: /etc/exim/domains//passwd
Jan 10 10:36:49 auth: Info: passwd-file(finance,91.200.12.166): no passwd file: /etc/exim/domains//passwd
Jan 10 10:38:24 auth: Info: passwd-file(accounts,91.200.12.165): no passwd file: /etc/exim/domains//passwd

它们都在91.200.12.*91.200.13.*的范围内,其中有许多关于恶意bot活动(示例)的报告。它试图访问的用户名在我的系统中是不存在的:推测它是一个探测机器人,通过查看错误类型或返回它得到的信息来找出用户的存在。

这与一次失败的登录尝试完全不同,我在日志中有一些登录尝试,并附带了一条额外的行,如下所示:

代码语言:javascript
复制
mmm dd HH:MM:SS auth: Info: passwd-file(username@domain_name.com,XX.XX.XX.XX): no passwd file: /etc/exim/domains/domain_name.com/passwd
mmm dd HH:MM:SS pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<username@domain_name.com>, method=PLAIN, rip=XX.XX.XX.XX, lip=YY.YY.YY.YY

我为所有与邮件相关的端口添加了91.200.12.0/2491.200.13.0/24的iptables规则,但这些日志条目仍然不断出现。我有fail2ban,但是他们通过缓慢地探测和改变经常使用的IP地址来绕过它,相同的确切IP地址很少在几天/几周内使用两次。

我想要做的是解码这些dovecot日志条目,并计算出这个bot让Dovecot实际做了什么,这样我就可以想出如何关闭它(因为不管它是什么,IPtables似乎都没有真正阻止它)。

很明显,机器人正在寻找passwd文件(并且做的很糟糕,因为他们从/etc/exim/domains/some_domain.com/passwd中丢失了域名),而且很明显,它正在使用某种远程访问的dovecot服务或特性。在没有伴随登录尝试条目的auth: Info: passwd-file日志条目后面,Dovecot服务或特性是什么?

我已经翻阅了Dovecot博士 on 日志记录身份验证,但是找不到任何能回答这个问题的东西。

更新:我已经尝试将auth_debug=yes添加到dovecot.conf中,然后重新启动Dovecot,看看是否可以获得更多关于正在发生的事情的信息。下面是一个更详细的关于机器人的例子-更多的信息,但我仍然不知道它意味着什么。看起来它似乎可以在不登录的情况下访问一些可用的信息,这当然是我想要关闭的:

代码语言:javascript
复制
Jan 10 21:32:19 auth: Debug: Loading modules from directory: /usr/lib64/dovecot/auth
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libauthdb_ldap.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_sqlite.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libmech_gssapi.so
Jan 10 21:32:19 auth: Debug: auth client connected (pid=13335)
Jan 10 21:32:19 auth: Debug: client in: AUTH    1   LOGIN   service=smtp    rip=91.200.13.22    lip=MY.IP.ADD.RS    nologin resp=<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT   1   RAnD0mTxT8y9
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT   1   8y9rAND0MtXt
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Info: passwd-file(bar,91.200.13.22): no passwd file: /etc/exim/domains//passwd
Jan 10 21:32:19 auth: Debug: client out: FAIL   1   user=bar

在我前面的例子中,"bar“似乎只是另一个随机的用户名,比如"management”、“扫描器”、"finance“和"accounts”。

dovecot
EN

回答 2

Unix & Linux用户

发布于 2017-01-17 00:05:05

我发现他们在使用欺骗服务来隐藏真实的痕迹:

2017-01-16 18:59主机vps863.hidehost.net (从91.200.12.140连接期间)没有发现IP地址2017-01-16 18:02:02 :02: dovecot_login身份验证器失败:(用户) 91.200.12.140:535错误身份验证数据(set_id=ftpuser) 2017-01-16 18:02:38主机dedic867.hidehost.net没有找到IP地址(在从91.200.13.25连接的过程中) 2017-01-16 18:02:40 dovecot_login身份验证器失败(用户) 91.200.13.25:535错误的身份验证数据(set_id=jimmy) 2017-01-16 18:03:09 IP地址无主机名148.153.1.90

票数 1
EN

Unix & Linux用户

发布于 2017-01-16 23:57:50

我也有同样的问题。这些IP被分配到乌克兰的www.vhoster.net

代码语言:javascript
复制
inetnum:         91.200.12.0 - 91.200.15.255
netname:         VHOSTER-NET
org:             ORG-PS152-RIPE
remarks:         
remarks:         **********************************Attention***************************************
remarks:         The pool is used other Department!
remarks:         In case of questions related to SPAM, HACKING, SECURITY
remarks:         Please contact directly abuse@vhoster.net
remarks:         tel: +38 (044) 379-28-50; +7 (499) 404-16-45
remarks:         ***********************************************************************************
remarks:         
country:         UA
admin-c:         JCK
tech-c:          JCK
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-by:          VHOSTER-MNT
mnt-by:          GLUBINA-MNT
mnt-routes:      VHOSTER-MNT
mnt-domains:     VHOSTER-MNT
created:         2007-09-21T12:32:02Z
last-modified:   2016-12-21T11:04:26Z
source:          RIPE

organisation:    ORG-PS152-RIPE
org-name:        PP SKS-LUGAN
org-type:        LIR
address:         Lenina
address:         93400
address:         Sev
address:         UKRAINE
phone:           +380665258035
fax-no:          +380665258035
e-mail:          lir@lugalink.net
admin-c:         TAU-RIPE
abuse-c:         AR17440-RIPE
mnt-ref:         RIPE-NCC-HM-MNT
mnt-ref:         LUGAN-MNT
mnt-by:          RIPE-NCC-HM-MNT
mnt-by:          LUGAN-MNT
created:         2013-09-25T08:41:49Z
last-modified:   2016-07-11T07:26:07Z
source:          RIPE
票数 0
EN
页面原文内容由Unix & Linux提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://unix.stackexchange.com/questions/336379

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档