8
Wie finde ich den betroffenen user
Hallo,
Wie kann ich den User finden der dies verursacht hat?
Betriebsystem ist Debian 7
your Server/Customer with the IP: *78.x.x.x* () has attacked one of our servers/partners.
The attackers used the method/service: *mail* on: *Wed, 14 feb 2018 11:48:22 +0200*.
The time listed is from the server-time of the Blocklist-user who submitted the report.
The attack was reported to the Blocklist.de-System on: *Wed, 14 Feb 2018 10:48:08 +0100*
!!! Do not answer to this Mail! Use support@ or contact-form for Questions (no resolve-messages, no updates....) !!!
The IP has been automatically blocked for a period of time. For an IP to be blocked, it needs
to have made several failed logins (ssh, imap....), tried to log in for an "invalid user", or have
triggered several 5xx-Error-Codes (eg. Blacklist on email...), all during a short period of time.
The Server-Owner configures the number of failed attempts, and the time period they have
to occur in, in order to trigger a ban and report. Blocklist has no control over these settings
Log
2018-02-14 11:47:14 dovecot_login authenticator failed for xx (pblc.lv) [xx]:55606: 535 Incorrect authentication data (set_id=vika)
Wie kann ich den User finden der dies verursacht hat?
Betriebsystem ist Debian 7
your Server/Customer with the IP: *78.x.x.x* () has attacked one of our servers/partners.
The attackers used the method/service: *mail* on: *Wed, 14 feb 2018 11:48:22 +0200*.
The time listed is from the server-time of the Blocklist-user who submitted the report.
The attack was reported to the Blocklist.de-System on: *Wed, 14 Feb 2018 10:48:08 +0100*
!!! Do not answer to this Mail! Use support@ or contact-form for Questions (no resolve-messages, no updates....) !!!
The IP has been automatically blocked for a period of time. For an IP to be blocked, it needs
to have made several failed logins (ssh, imap....), tried to log in for an "invalid user", or have
triggered several 5xx-Error-Codes (eg. Blacklist on email...), all during a short period of time.
The Server-Owner configures the number of failed attempts, and the time period they have
to occur in, in order to trigger a ban and report. Blocklist has no control over these settings
Log
2018-02-14 11:47:14 dovecot_login authenticator failed for xx (pblc.lv) [xx]:55606: 535 Incorrect authentication data (set_id=vika)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365056
Url: https://administrator.de/contentid/365056
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Hi
nun indem du schaust wer bei dir die Mail verschickt hat.
Möglich das auch eine Webanwendung eine Lücke hat und diese dafür missbraucht wird.
Es kann auch sein das der/die Eindringlinge eigene Serverdienste(Programme) aufgesetzt haben oder deine Logs/Programme Manipulieren.
Dennoch solltest du umgehend den Server Sichern (dd Image ggfs) und ein Backup Einspielen und die Lücke sofort schließen.
Da dein System kompromittiert ist, ist der weiterbetrieb Fahrlässig.
nun indem du schaust wer bei dir die Mail verschickt hat.
Möglich das auch eine Webanwendung eine Lücke hat und diese dafür missbraucht wird.
Es kann auch sein das der/die Eindringlinge eigene Serverdienste(Programme) aufgesetzt haben oder deine Logs/Programme Manipulieren.
Dennoch solltest du umgehend den Server Sichern (dd Image ggfs) und ein Backup Einspielen und die Lücke sofort schließen.
Da dein System kompromittiert ist, ist der weiterbetrieb Fahrlässig.
Hallo,
Ich kann doch sicherlich via Befehl herausfinden, welcher User die Email Versendet hat bzw. Durch welchen Account?
Ich kann doch sicherlich via Befehl herausfinden, welcher User die Email Versendet hat bzw. Durch welchen Account?
Hi,
Ja klar, in dem Du die SMTP-Logfiles des Servers in der Shell durchackern laesst und nach der IP filterst. Wenn Dein Server ohne Authentifizierung Mails per SMTP annimmt und weiter leitet (sprich Open Relay) hast Du u.U. nur die IP.
Ist die IP aus dem internen Netz bei Dir?
BFF
Ich kann doch sicherlich via Befehl herausfinden, welcher User die Email Versendet hat bzw. Durch welchen Account?
Ja klar, in dem Du die SMTP-Logfiles des Servers in der Shell durchackern laesst und nach der IP filterst. Wenn Dein Server ohne Authentifizierung Mails per SMTP annimmt und weiter leitet (sprich Open Relay) hast Du u.U. nur die IP.
your Server/Customer with the IP: *78.x.x.x* ()
Ist die IP aus dem internen Netz bei Dir?
BFF
Zitat von @Protected:
Hallo,
Ich kann doch sicherlich via Befehl herausfinden, welcher User die Email Versendet hat bzw. Durch welchen Account?
Hallo,
Ich kann doch sicherlich via Befehl herausfinden, welcher User die Email Versendet hat bzw. Durch welchen Account?
Nein. Nur durch logfiles analysieren.
lks
PS: oder wolltest Du wissen, wie grep funktioniert?
wie wäre dazu der passende grep befehl, wo finde ich das Logfile zum smtp
nein nicht intern.
Nun Beispiele hast du hier grep example.
Die Logs sind alle im Log Ordner sofern du den Pfad nicht geändert hast.
(Sollte der Letzte Ordner im / sein)
Dies kannst du aber auch beim Mailserver Config nachsehen wo die Gespeichert werden.
Die Logs sind alle im Log Ordner sofern du den Pfad nicht geändert hast.
(Sollte der Letzte Ordner im / sein)
Dies kannst du aber auch beim Mailserver Config nachsehen wo die Gespeichert werden.
Hallo,
Du bist sicher das Du diese Aufgabe bewaeltigen kannst?
Da wurde versucht sich mit falschem Credentials anzumelden. Hast Du einen Account namens vika auf dem Server? Wenn nein, war der Server u.U. das Ziel einer POP-Attacke.
Wo dovecot die Logs speicher, siehst Du hier.
https://wiki1.dovecot.org/Logging
Wie grep geht, hast Du ja schon.
BFF
Du bist sicher das Du diese Aufgabe bewaeltigen kannst?
2018-02-14 11:47:14 dovecot_login authenticator failed for xx (pblc.lv) [xx]:55606: 535 Incorrect authentication data (set_id=vika)
Da wurde versucht sich mit falschem Credentials anzumelden. Hast Du einen Account namens vika auf dem Server? Wenn nein, war der Server u.U. das Ziel einer POP-Attacke.
Wo dovecot die Logs speicher, siehst Du hier.
https://wiki1.dovecot.org/Logging
Wie grep geht, hast Du ja schon.
BFF
