« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Атака на ClearOs  (Прочитано 1891 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Gekko

  • Постоялец
  • ***
  • Сообщений: 379
  • Рейтинг: 1
    • Просмотр профиля
  • Откуда: UTC+3
Атака на ClearOs
« : 24 сентября 2015, 18:08:10 »
Есть у меня маленький почтовичек на КлирОси. Часто по утрам звонит мне один юзер у которого громкий адрес manager, и жалуется что ему "в почту не войти" а именно - пароль не подходит. Лечится заходом на веб-морду клироси и заданием этому пользователю старого пароля. В логах почтовых аккаунтов вижу что ко мне на сервер всю ночь стучится кто то с попытками залогинится под разными "ходовыми" аккаунтами, типа admin, user, director итд, и в конце концов нащупывает manager и долбится в него раз 10, после чего акк наглухо уходит до утра в несознанку и не откликается на попытки авторизоваться под ним даже по правильному паролю.
Вопрос в том - кто именно его блокирует, где логи читать?
Записан
Зеленка понижает IQ всего IT подразделения. Не начинайте читать зеленку.

Оффлайн FessAectan

  • Модератор
  • Старожил
  • *****
  • Сообщений: 972
  • Рейтинг: 25
  • Пол: Мужской
  • На пути к просветлению
    • fessae@jabber.ru
    • fessae
    • Просмотр профиля
    • https://vistep.ru/
  • Откуда: vistep.ru
Атака на ClearOs
« Ответ #1 : 25 сентября 2015, 01:13:20 »
покажите для начала те логи, которые вы уже читали
Записан
Мы переоцениваем себя завтрашнего, поэтому и страдаем прокрастинацией.

Оффлайн Gekko

  • Постоялец
  • ***
  • Сообщений: 379
  • Рейтинг: 1
    • Просмотр профиля
  • Откуда: UTC+3
Атака на ClearOs
« Ответ #2 : 25 сентября 2015, 09:59:47 »
Какой именно? Где кто то ночью долбится? Ну вот кусочек:
Цитировать
login as: root
root@koroviy.pizdyak.ru's password:
Last login: Thu Sep 24 17:13:57 2015 from 93.174.241.174
[root@mx ~]# mc
[root@mx etc]# [1~
bash: [1~: команда не найдена
messages.1         [-M-O]  0 L:[3557+ 7 3564/7364] *(343342/682556b)= S  83 0x53
Sep 15 09:39:54 mx saslauthd[3686]: user ldap_search_st() failed: Can't contact LDAP server
Sep 15 09:39:54 mx saslauthd[3686]: Retrying authentication
Sep 15 09:43:13 mx clamd[3394]: SelfCheck: Database status OK.
Sep 15 09:43:33 mx saslauthd[3688]: do_auth         : auth failure: [user=marketing] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 09:45:01 mx saslauthd[3670]: user ldap_search_st() failed: Can't contact LDAP server
Sep 15 09:45:01 mx saslauthd[3670]: Retrying authentication
Sep 15 09:46:38 mx saslauthd[3686]: Retrying authentication
Sep 15 09:47:17 mx saslauthd[3670]: do_auth         : auth failure: [user=operator] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 09:51:00 mx saslauthd[3686]: do_auth         : auth failure: [user=clamav] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 09:51:53 mx saslauthd[3688]: user ldap_search_st() failed: Can't contact LDAP server
Sep 15 09:51:53 mx saslauthd[3688]: Retrying authentication
Sep 15 09:53:13 mx clamd[3394]: SelfCheck: Database status OK.
Sep 15 09:54:44 mx saslauthd[3686]: do_auth         : auth failure: [user=help] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 09:58:28 mx saslauthd[3686]: do_auth         : auth failure: [user=xantia] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:02:12 mx saslauthd[3688]: do_auth         : auth failure: [user=adminv] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:03:13 mx clamd[3394]: SelfCheck: Database status OK.
Sep 15 10:05:50 mx saslauthd[3686]: do_auth         : auth failure: [user=admin01] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:09:31 mx saslauthd[3688]: do_auth         : auth failure: [user=administration] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:13:02 mx saslauthd[3688]: do_auth         : auth failure: [user=administrador] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:13:13 mx clamd[3394]: SelfCheck: Database status OK.
Sep 15 10:16:33 mx saslauthd[3670]: do_auth         : auth failure: [user=administracion] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:20:08 mx saslauthd[3688]: do_auth         : auth failure: [user=administratores] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown
Sep 15 10:23:13 mx clamd[3394]: SelfCheck: Database status OK.
Sep 15 10:23:27 mx saslauthd[3688]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:23:42 mx saslauthd[3688]: do_auth         : auth failure: [user=webadmin] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:23:43 mx saslauthd[3687]: do_auth         : auth failure: [user=maimunavirishvila] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:23:44 mx saslauthd[3688]: do_auth         : auth failure: [user=maimunavirishvila] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:23:45 mx saslauthd[3670]: do_auth         : auth failure: [user=maimunavirishvila] [service=smtp] [realm=koroviy.pizdyak.ru] [mech=ldap] [reason=Unknown]
Sep 15 10:24:30 mx saslauthd[3688]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:24:35 mx saslauthd[3686]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:24:55 mx saslauthd[3686]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:24:59 mx saslauthd[3670]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:23 mx saslauthd[3689]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:26 mx saslauthd[3689]: do_auth         : auth failure: [user=manager] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:28 mx saslauthd[3687]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:31 mx saslauthd[3688]: do_auth         : auth failure: [user=manager] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:32 mx saslauthd[3689]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:36 mx saslauthd[3688]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:37 mx saslauthd[3686]: do_auth         : auth failure: [user=manager] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:41 mx saslauthd[3688]: do_auth         : auth failure: [user=maimunavirishvila] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:43 mx saslauthd[3686]: do_auth         : auth failure: [user=manager] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:49 mx saslauthd[3689]: do_auth         : auth failure: [user=manager] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:53 mx saslauthd[3686]: do_auth         : auth failure: [user=manager] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:25:57 mx saslauthd[3686]: do_auth         : auth failure: [user=manager] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
Sep 15 10:26:04 mx saslauthd[3689]: do_auth         : auth failure: [user=manager] [service=pop] [realm=] [mech=ldap] [reason=Unknown]
1Помощь 2Сохрани3Блок   4Замена 5Копия  6Перемес7Поиск  8Удалить9МенюMC 10Выход
Вот тут видно как стучит на Маймунавиришвила и на manager'а которые реально существуют. Кстати говоря, Маймунавиришвила не блокируется.
« Последнее редактирование: 26 сентября 2015, 03:09:03 от Gekko »
Записан
Зеленка понижает IQ всего IT подразделения. Не начинайте читать зеленку.
Страницы: [1]   Вверх
« предыдущая тема следующая тема »