sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
userpferd schrieb: Apr 18 08:53:25 mail dovecot: imap-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<mabler>, method=PLAIN, rip=x.x.x.x, lip=192.168.178.117, TLS: Connection closed, session=<w3xJqznAdOkFCgO5>
Jemand hat versucht sich einzuloggen. Versucht. Und ist gescheitert. Willkommen im Internet 😎 Das ist business as usual. Du kannst zB fail2ban solche Loginversuche temporaer sperren. Aber woran hast du nun erkannt, dass dein Server E-Mails von Users verschickt, die es nicht gibt? Da muss es ja noch andere Logs geben, ausser der wertlosen Zeile hier.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17654
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
userpferd schrieb: also ich mach das jetzt über einen andern rechner, aber mann mann mann ist bei mir traffic. mal sehen ob ich mit den filtern zurecht komm
smtp and ip.addr==10.0.0.77
sollte passen.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
@sebix: ja fail2ban hab ich zwar, aber warum ich auf die idee komme, mich für hilfe zu interessieren: weil die anfrage von meinem rechner aus ging. von extern hab ich kein problem.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
192.168.178.117 ist deine lokale IP-Adresse? Zeig mal bitte ip a . Und an welchen Logs hast du den Mailversand erkannt? Das fehlt immer noch.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:c0:08:90:38:17 brd ff:ff:ff:ff:ff:ff
inet 192.168.178.117/24 brd 192.168.178.255 scope global enp2s0
valid_lft forever preferred_lft forever
inet6 fe80::2c0:8ff:fe90:3817/64 scope link
valid_lft forever preferred_lft forever
Bearbeitet von sebix: Bitte verwende in Zukunft Codeblöcke, um die Übersicht im Forum zu verbessern!
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
192.168.178.117 ist deine IP-Adresse und folglich kommt die auch in den Logs vor, weil das eben deine IP-Adresse ist. Soweit so gut. Meine Schlussfolgerung von vorher bleibt: Jemand (x.x.x.x) hat versucht sich einzuloggen. Und was hat das nun alles mit Mailversand zu tun?
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
ja gut, dann nehm ichs auf die leichtere schulter. dann können wir das thema hier schliessen. und ich hab wireshark kennengelernt.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17654
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Nochmal die Frage: Das SMTP-Paket mit dem Anmeldeversuch kam von der 192.168.178.117?
Wer kann sich alles auf den Rechner mit dieser IP einloggen?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
DJKUhpisse schrieb: Das SMTP-Paket mit dem Anmeldeversuch kam von der 192.168.178.117?
Was hat dovecot-imapd mit SMTP zu tun? Und der Anmeldeversuch kam von x.x.x.x, nicht 192.168.178.117 Wer kann sich alles auf den Rechner mit dieser IP einloggen?
Der Hacker, der x.x.x.x gekapert hat.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
@DJKuhpisse: nur ich mich
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17654
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Oh ja, stimmt, der Anmeldeversuch geht auf den IMAP-Server.
Darüber kann man aber nur Mails abrufen, gesendet wird per SMTP. Ergo versucht sich jemand per IMAP anzumelden. Welcher Rechner nutzt nun die Quell-IP von diesem Versucht?
Relevant ist die Quell-IP, das Ziel kenne wir ja.
Kannst du den Quell-Rechner zuordnen.
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
Quell-IP=Ziel-IP
deswegen verwirrung
deswegen thema gestartet
aber ich bin nun beruhigt
weil nur anmeldeVERSUCH
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17654
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Wenn der Anmeldeversuch wirklich von deinem Server kommt dann wäre dich da alles andere als beruhigt. imap and ip.dst==1.2.3.4 and ip.src==1.2.3.4
sollte derartige Pakete im Wireshark finden können.
Prüfe, ob da noch welche kommen. Prüfe dauerhaft, wer sich einloggt und wer eingeloggt ist.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
userpferd schrieb: Quell-IP=Ziel-IP
Die von dir gezeigte Logzeile sagt:
rip=x.x.x.x, lip=192.168.178.117 Ist jetzt x.x.x.x == 192.168.178.117 oder was meinst du?
|
userpferd
(Themenstarter)
Anmeldungsdatum: 20. April 2021
Beiträge: 14
|
nein, die x.x.x.x ist eine internetadresse unter der der server läuft z.b. 242.115.248.11 (nicht meine) und von der kommen auf die imap anfragen mit den falschen usern. also bin ich nun wieder beunruhigt.
|