[Postfixbuch-users] login from local host - gehackt?

jani kev janikev at googlemail.com
Fr Jun 6 16:27:01 CEST 2014


Danke für die Antwort! Aber nein - für diesen user kann ich das
ausschließen.

Folgende Systhematik fällt mir im Zusammenhang mit dem pop3 log auf:

Wenn ein login Versuch mit FAILEd geloggt wird, ist die ip im Log IMMER
127.0.0.1
Wenn ein Login Versuch klappt, wird die tatsächliche IP geloggt. Es scheint
also so, als dass der sasl bei abgewiesenen Loginversuchen immer 127.0.0.1
einträgt.
Damit bleibt für diesen Fall nur die besondere Häufigkeit (fortlaufed um
die 10 pro Minute) so beunruhigend.
Andere Bruteforces ("admin" ""root" "Joe" usw.) sind da weit weniger
hartnäckig.
Mich würde es dazu beruhigen, wenn ich die Tatsache, dass sasl alle
"Failed" - Versuche immer mit 127.0.0.1 loggt, als "normal" abhaken könnte.


Gruß
Janikev


2014-06-06 16:10 GMT+02:00 Winfried Neessen <wn at neessen.net>:

> Am 2014-06-06 15:38, schrieb jani kev:
>
>  ich habe im pop3 log fortwährende Eintrage mit der IP 127.0.0.1
>> localhost imapd: LOGIN FAILED, user=_usename_, ip=[::ffff:127.0.0.1]
>>
>
> Evtl. ein Monitoring-System mit lokalem Agent, dass den Status des
> smtpd/pop3d/imapd
> testet?
>
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140606/c0baf821/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users