Angriff auf Mail-Server?

[Pippo]

Hey Leute,
was habe ich von folgenden Logeinträgen zu halten?
Hat dort jemand automatisiert versucht sich bei meinem Mail-Server anzumelden?
Im Anhang findet sich ein Ausschnitt von /var/log/syslog
Vielen Dank

 

[Heuball]

Sieht nach nem Skript aus jap, immer die selbe IP in Zusammhang mit unvollständigem namen oder Passwort.

Versuch einfach mal nen Captcha vorzuhängen dann sollte das erledigt sein.

Kontrolliere aber auch mal das du kein Mailprogramm mit falschen Daten drin benutzt, das kann auch zu solchen ausgaben führen.

 

[Vastator]

@Heuball: würde ich auch sagen

Ich würde es beobachten - im schlimmsten Fall die Ip bannen.

 

[Pippo]

Danke erst mal für die Antwort =)
Ja dachte ich auch erst, vertippt beim Passwort oder so.
Ich wage mal zu behaupten, ich wars nicht.
Testen wa das mal mit dem Captcha

 

[tifa]

oder fail2ban und nach 10 fehlgeschlagene versuche ban

 

[Heuball]

Da hättest du dich aber auffällig oft vertippen müssen um so einen Log zu erzeugen und das im Sekundentakt, so schnell tippt nur ein Automatismus.

PS die WhoIs Abfrage verrät die IP gehört zu static.cloud-ips.com das deutet auch auf einen Spam Server hin.

 

[Pippo]

Ich suche ja erst den Fehler bei mir
Ne hab auch mal mit Hilfe von whois geschaut wo die IP herkommt...

84.106.132.218 - Geo Information
IP Address 184.106.132.218
Host 184-106-132-218.static.cloud-ips.com
Location US US, United States
City San Antonio, TX 78218
Organization Rackspace Hosting
ISP Rackspace Hosting
AS Number AS19994 Rackspace Hosting
Latitude 29°48'89" North
Longitude 98°39'87" West
Distance 10024.03 km (6228.64 miles)

 

[ATI Soldat]

LOIC laden und antworten

 

[marcol1979]

Sieht wie ein Angriff aus.
Kannst beim Mailserver nicht die Anzahl der Versuche beschränken ?
3x, bis zum nächsten Versuch 15min warten.

 

[IceMatrix]

unkritisch. kannst du ignorieren.