popper angegriffen??

[media]

Hallo,
habe heute ellenlange Einträge in den Logfiles der Art:

Jan 15 08:25:15 pxxxxxxxx popper[30338]: (v4.0.4) Unable to get canonical name of client 66.73.37.72: Unknown host (1) [pop_init.c:1075]
Jan 15 08:25:15 pxxxxxxxx popper[30339]: (v4.0.4) Unable to get canonical name of client 66.73.37.72: Unknown host (1) [pop_init.c:1075]
Jan 15 08:25:15 pxxxxxxxx popper[30340]: (v4.0.4) Unable to get canonical name of client 66.73.37.72: Unknown host (1) [pop_init.c:1075]
Jan 15 08:25:25 pxxxxxxxx popper[30336]: account at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "account" is incorrect.
[pop_pass.c:1291]
Jan 15 08:25:25 pxxxxxxxx popper[30337]: admin at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "admin" is incorrect. [pop
_pass.c:1291]
Jan 15 08:25:25 pxxxxxxxx popper[30338]: data at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "data" is incorrect. [pop_p
ass.c:1291]
Jan 15 08:25:25 pxxxxxxxx popper[30339]: webmaster at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "webmaster" is incorre
ct. [pop_pass.c:1291]
Jan 15 08:25:25 pxxxxxxxx popper[30341]: (v4.0.4) Unable to get canonical name of client 66.73.37.72: Unknown host (1) [pop_init.c:1075]
Jan 15 08:25:25 pxxxxxxxx popper[30340]: server at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "server" is incorrect. [p
op_pass.c:1291]
Jan 15 08:25:25 pxxxxxxxx popper[30342]: (v4.0.4) Unable to get canonical name of client 66.73.37.72: Unknown host (1) [pop_init.c:1075]
Jan 15 08:25:25 pxxxxxxxx popper[30343]: (v4.0.4) Unable to get canonical name of client 66.73.37.72: Unknown host (1) [pop_init.c:1075]
Jan 15 08:25:35 pxxxxxxxx popper[30341]: account at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "account" is incorrect.
[pop_pass.c:1291]
Jan 15 08:25:35 pxxxxxxxx popper[30342]: data at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "data" is incorrect. [pop_p
ass.c:1291]

Was ist da passiert? Es hat anscheinend jemand versucht mit unsinnigsten Namen den Pop-Server zu konnektieren. Ist momentan eine gravierende Sicherheitlücke in popper oder warum ist der z.Z. immer wieder Ziel von solchen Attacken. Kann man gegen sowas was unternehmen oder einfach hinnehmen?

Gruss, Klaus

[Outlaw]

Nunja, wenn weiter nix passiert is, isses doch gut. Solche Einträge sind bei mir schon normal und das nicht nur beim Mailsystem. Vermutlich versuchen sich diverse Würmer und Viren per Mail zu verbreiten.

Ich denke, Du kannst recht wenig dagegen tun. Sollte ich mich irren, bitte korrigieren ....

Gruß Outi

PS: Evtl. ne Mail an den ISP der IP schicken (Abuse), bringt nicht ganz so viel is aber immer noch besser als gar nix.

[dodolin]

Ist momentan eine gravierende Sicherheitlücke in popper oder warum ist der z.Z. immer wieder Ziel von solchen Attacken.

Weil man dann meistens wunderprächtig per SMTP-After-POP oder auch per SMTP-AUTH spammen kann! Das ist der einzige Sinn hinter solchen Passwort-Attacken auf POP3Dämons und SMTP-AUTH.

[Anonymous]

Habe seit heute mittag genau die selben Einträge in meinen Mail-Logs.

Hoffe da passiert nix weiter, hat mich auf den ersten Blick doch etwas nervös gemacht.

Geht übrigens bei mir auch von der selben IP-Adresse aus :-(

[steffz]

In diesem Falle würde ich die Regeln von Iptables ergänzen und diesen Rechner ausschließen. Das kann einigen Ã?rger ersparen, sofern ein Passwort ungünstig gewählt ist und ihr SMTP-Auth nutzt.

[deckel]

ach die eiträge habe ich auch mit der selben ip hat heute morgen um 9uhr 2 aufgehört.

Aber das es viren sind ist mir nicht in den sinn gekommen dachte wäre ein angriff gewesen.
Naja mein rootpass ist gut gewählt und das traffic blieb auch normal.

werde das mal im augebehalten.


mfg deckel

[Anonymous]

@Steffz: ist schon längst geschehen ;-)

Ich bin gespannt ob es da demnächst Versuche von anderen IPs gibt.

[geeky]

Interessant: http://66.73.37.72/

[captaincrunch]

Habt ihr zufällig auch Zugriffe auf den ftpd, die verschiedenste Accounts durchprobieren? Diesbezüglich ging in den letzten Tagen etwas über ein paar Mailinglisten.

[mac]

Hallo,

ich habe am 13.01.04 einen ganzen Haufen Loginversuche auf den Proftp
gehabt. Das letzte Jahr hab ich eigentlich keinen so hartnäckigen "Probierer" (test, test12, test1234, admin, web, user, usw.)
gehabt.

gruss ,mac

[oxygen]

kann mich dem anschließen:

Jan 15 02:14:42 p15112405 popper[28489]: root at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:15:30 p15112405 popper[28563]: admin at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:15:35 p15112405 popper[28567]: webmaster at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:15:38 p15112405 popper[28572]: user at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:15:39 p15112405 popper[28574]: test at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:15:40 p15112405 popper[28576]: web at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:15:47 p15112405 popper[28583]: www at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:15:47 p15112405 popper[28585]: administrator at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:15:57 p15112405 popper[28597]: oracle at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:04 p15112405 popper[28623]: sybase at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:04 p15112405 popper[28624]: informix at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:13 p15112405 popper[28640]: oracle8 at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:24 p15112405 popper[28662]: backup at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:31 p15112405 popper[28673]: lizdy at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:33 p15112405 popper[28677]: server at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:36 p15112405 popper[28686]: data at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:41 p15112405 popper[28693]: account at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:42 p15112405 popper[28695]: access at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
Jan 15 02:16:44 p15112405 popper[28699]: pwrchute at 66.73.37.72 (66.73.37.72): -ERR Too few arguments for the pass command.
...

1. Server:
# grep 66.73.37.72 /var/log/mail | wc -l
529
2. Server:
# grep 66.73.37.72 /var/log/mail | wc -l
984


Vielleicht sollte man was gegen den Spaßvogeln tun. Ich hab erstmal iptables bemüht. (/usr/sbin/iptables -A INPUT -s 66.73.37.72 -j DENY)

[captaincrunch]

-j DENY

Damit er dich auch schön weiter belästigt? ;)

[oxygen]

das sollte latürlich REJECT heißen, habs so ausm Kopf hingeklatscht ;)

[andre丨]

Hallo,
ich kann auch das selbe bestätigen, massenhaft einträge von 66.73.37.72

Code: Select all

Jan 16 18:18:38 web-xxl in.qpopper[5078]: access at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "access" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:38 web-xxl in.qpopper[5079]: account at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "account" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:38 web-xxl in.qpopper[5077]: account at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "account" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:38 web-xxl in.qpopper[5080]: access at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "access" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:38 web-xxl in.qpopper[5081]: account at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "account" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:39 web-xxl in.qpopper[5082]: access at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "access" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:39 web-xxl in.qpopper[5083]: pwrchute at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "pwrchute" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:39 web-xxl in.qpopper[5084]: pwrchute at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "pwrchute" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:39 web-xxl in.qpopper[5085]: pwrchute at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "pwrchute" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:39 web-xxl in.qpopper[5087]: pwrchute at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "pwrchute" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:39 web-xxl in.qpopper[5088]: pwrchute at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "pwrchute" is incorrect. [pop_pass.c:1291]
Jan 16 18:18:39 web-xxl in.qpopper[5089]: pwrchute at 66.73.37.72 (66.73.37.72): -ERR [AUTH] Password supplied for "pwrchute" is incorrect. [pop_pass.c:1291]
Jan 16 18:19:26 web-xxl in.qpopper[5046]: (null) at 66.73.37.72 (66.73.37.72): -ERR POP EOF or I/O Error [popper.c:820]
Jan 16 18:19:26 web-xxl in.qpopper[5045]: (null) at 66.73.37.72 (66.73.37.72): -ERR POP EOF or I/O Error [popper.c:820]

[adjustman]

... was gegen den Spaßvogeln tun. Ich hab erstmal iptables bemüht. (/usr/sbin/iptables -A INPUT -s 66.73.37.72 -j DENY)

etwas OT, sorry. Kann man diese Regeln ( abgesehen, dass es REJECT heisst, ich weiss ) zusammen - oder parallel - mit IAM nutzen?