El día 26 de agosto de 2008 13:26, Camaleón
Hola,
Desde inicios de agosto estoy notando un incremento de intentos de acceso a cuentas pop3 inexistentes. Por los datos del registro parece algún ataque de esos de diccionario automatizado (usan logins de cuentas del sistema del tipo "webalizer, spam, oracle, admin, root", así como nombres de usuario de personas aleatorios "tomy, jones, jmartinez...").
Uso cyrus y sasl2. Los datos que veo son el host, la ip, el nombre de usuario y el error (badlogin plaintext, user not found: checkpass failed).
Yo implemente la solucion Postfix + openLDAP con cuentas virtuales agrega mucha seguridad ya que los usuarios del correo no tienen permiso de nada mas ... es mas ... nisiquiera existen en el sistema =D
Ya me había acostumbrado a los intentos de "relay" vía smtp que suelen venir de redes de China pero esto es nuevo y no sé si sería conveniente tomar alguna medida (bloqueo de ip, informar al administrador de la red :-?). De momento, los 3 equipos desde lo que se ha producido el intento de acceso a las cuentas pop3 están operativos y accesibles vía web (son las típicas páginas de inicio de configuración servidores web).
A mi me han estado atacando sobre el ssh ... :s varios servidores de china ...
¿Qué se suele hacer en estos casos? ¿Merece la pena comunicarlo? ¿O es algo normal que va por rachas, como el spam...? :-?
Siendo paranoico habria que poner una nueva regla en el SuSEfirewall2 ;) Me parece que es por rachas ... y falta la mas bonita del año ... NAVIDAD ahi si es cataratas de correos bausura, intentos de login por todos los puertos es la etapa en que todos descansan menos los sysadmins :( -- Ing. Alejandro Rodriguez || @LeX Usuario Linux # 379802 openSUSE 11.0 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org