봇은 로그인을 시도하지 않고 수많은 "auth: Info: passwd-file" Dovecot 로그를 남깁니다. - Dovecot은 무엇을 하고 있나요?

tag-icon tag-icon dovecot
봇은 로그인을 시도하지 않고 수많은 "auth: Info: passwd-file" Dovecot 로그를 남깁니다. - Dovecot은 무엇을 하고 있나요?

다음과 같은 로그 항목이 많이 표시됩니다.

Jan 10 10:31:24 auth: Info: passwd-file(management,91.200.12.140): no passwd file: /etc/exim/domains//passwd
Jan 10 10:32:14 auth: Info: passwd-file(scanner,91.200.13.24): no passwd file: /etc/exim/domains//passwd
Jan 10 10:36:49 auth: Info: passwd-file(finance,91.200.12.166): no passwd file: /etc/exim/domains//passwd
Jan 10 10:38:24 auth: Info: passwd-file(accounts,91.200.12.165): no passwd file: /etc/exim/domains//passwd

모두 해당 범위에 속하거나 91.200.12.*악의적 91.200.13.*인 봇 활동에 대한 보고가 많이 있습니다(). 액세스하려는 사용자 이름이 내 시스템에 존재하지 않습니다. 아마도 이는 발생하거나 반환되는 오류 유형을 보고 어떤 사용자가 존재하는지 알아내는 프로브 봇일 것입니다.

이는 실패한 로그인 시도와는 완전히 다릅니다. 그 중 일부는 다음과 같은 추가 줄을 사용하여 기록했습니다.

mmm dd HH:MM:SS auth: Info: passwd-file(username@domain_name.com,XX.XX.XX.XX): no passwd file: /etc/exim/domains/domain_name.com/passwd
mmm dd HH:MM:SS pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<username@domain_name.com>, method=PLAIN, rip=XX.XX.XX.XX, lip=YY.YY.YY.YY

91.200.12.0/24모든 메일 관련 포트에 대해 iptables 규칙을 추가 했지만 91.200.13.0/24이러한 로그 항목이 계속 나타납니다. 나는 Fail2ban을 가지고 있지만 자주 사용되는 IP 주소를 천천히 검색하고 변경하여 문제를 해결합니다. 동일한 IP 주소가 며칠/주 내에 두 번 사용되는 경우는 거의 없습니다.

내가 하고 싶은 일은이러한 dovecot 로그 항목을 디코딩하고 봇이 실제로 Dovecot에게 무엇을 하라고 지시했는지 알아보세요., 그래서 나는 그것을 끄는 방법을 알아낼 수 있습니다(왜냐하면 그것이 무엇이든 IPtables는 실제로 그것을 차단하는 것 같지 않기 때문입니다).

분명히 봇은 passwd 파일을 찾고 있으며(그리고 그 파일의 원본 도메인 이름이 누락되었기 때문에 끔찍한 작업을 수행하고 있습니다 /etc/exim/domains/some_domain.com/passwd) 분명히 이 작업을 수행하기 위해 일종의 원격 액세스 비둘기장 서비스나 기능을 사용하고 있습니다. 어떤 Dovecot 서비스 또는 기능 뒤에 로그 항목이 표시되지만 auth: Info: passwd-file로그인 시도 항목이 포함되지 않을 수 있습니까?

나는 탐색했다비둘기장 문서존재하다기록등.확인하다하지만 이 질문에 대한 답을 찾을 수 없습니다.

고쳐 쓰다:무슨 일이 일어나고 있는지에 대한 자세한 정보를 얻을 수 있는지 확인하기 위해 Dovecot을 추가한 auth_debug=yes다음 다시 시작해 보았습니다 . dovecot.conf다음은 봇이 수행하는 작업에 대한 더 자세한 예입니다. 더 많은 정보가 있지만 여전히 그것이 무엇을 의미하는지 알 수 없습니다. 로그인하지 않고도 사용 가능한 정보 중 일부에 어떻게든 액세스할 수 있는 것 같습니다. 당연히 저는 이 기능을 끄고 싶습니다.

Jan 10 21:32:19 auth: Debug: Loading modules from directory: /usr/lib64/dovecot/auth
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libauthdb_ldap.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_sqlite.so
Jan 10 21:32:19 auth: Debug: Module loaded: /usr/lib64/dovecot/auth/libmech_gssapi.so
Jan 10 21:32:19 auth: Debug: auth client connected (pid=13335)
Jan 10 21:32:19 auth: Debug: client in: AUTH    1   LOGIN   service=smtp    rip=91.200.13.22    lip=MY.IP.ADD.RS    nologin resp=<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT   1   RAnD0mTxT8y9
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Debug: client out: CONT   1   8y9rAND0MtXt
Jan 10 21:32:19 auth: Debug: client in: CONT<hidden>
Jan 10 21:32:19 auth: Info: passwd-file(bar,91.200.13.22): no passwd file: /etc/exim/domains//passwd
Jan 10 21:32:19 auth: Debug: client out: FAIL   1   user=bar

"bar"는 이전 예의 "management", "scanner", "finance" 및 "accounts"와 같이 임의의 가능한 사용자 이름인 것 같습니다.

답변1

나는 그들이 실제 흔적을 숨기기 위해 스푸핑 서비스를 사용하고 있다는 것을 알게 되었습니다.

2017-01-16 18:01:59 호스트 vps863.hidehost.net에 대한 IP 주소를 찾을 수 없습니다([91.200.12.140]에서 SMTP 연결 중) 2017-01-16 18:02:02 dovecot_login 인증자 실패(사용자) [91.200 .12.140]: 535 잘못된 인증 데이터(set_id=ftpuser) 2017-01-16 18:02:38 호스트 dedic867.hidehost.net의 IP 주소를 찾을 수 없습니다(SMTP 연결 중 [91.200.13.25]의 요청에서). 2017-01-16 18:02:40 dovecot_login 인증자 실패(사용자) [91.200.13.25]: 535 잘못된 인증 데이터(set_id=jimmy) 2017-01-16 18:03:09 IP 주소 148.153.1.90에 대한 호스트 이름을 찾을 수 없습니다.

답변2

동일한 IP에서 똑같은 문제가 발생했습니다. 이 IP는 UKRAINE의 www.vhoster.net에 할당되어 있습니다.

inetnum:         91.200.12.0 - 91.200.15.255
netname:         VHOSTER-NET
org:             ORG-PS152-RIPE
remarks:         
remarks:         **********************************Attention***************************************
remarks:         The pool is used other Department!
remarks:         In case of questions related to SPAM, HACKING, SECURITY
remarks:         Please contact directly [email protected]
remarks:         tel: +38 (044) 379-28-50; +7 (499) 404-16-45
remarks:         ***********************************************************************************
remarks:         
country:         UA
admin-c:         JCK
tech-c:          JCK
status:          ASSIGNED PI
mnt-by:          RIPE-NCC-END-MNT
mnt-by:          VHOSTER-MNT
mnt-by:          GLUBINA-MNT
mnt-routes:      VHOSTER-MNT
mnt-domains:     VHOSTER-MNT
created:         2007-09-21T12:32:02Z
last-modified:   2016-12-21T11:04:26Z
source:          RIPE

organisation:    ORG-PS152-RIPE
org-name:        PP SKS-LUGAN
org-type:        LIR
address:         Lenina
address:         93400
address:         Sev
address:         UKRAINE
phone:           +380665258035
fax-no:          +380665258035
e-mail:          [email protected]
admin-c:         TAU-RIPE
abuse-c:         AR17440-RIPE
mnt-ref:         RIPE-NCC-HM-MNT
mnt-ref:         LUGAN-MNT
mnt-by:          RIPE-NCC-HM-MNT
mnt-by:          LUGAN-MNT
created:         2013-09-25T08:41:49Z
last-modified:   2016-07-11T07:26:07Z
source:          RIPE

관련 정보