Andauernde Loginversuche, Trojanerverdacht Was: Re: [leer]
Tom Mittelstädt
mittelstaedt-dovecot-list at monster-box.de
Di Dez 27 15:02:16 CET 2022
Hallo Stefan,
pünktlich zu den Feiertagen, wie immer :(
Am Dienstag, 27. Dezember 2022, 12:12:20 CET schrieb SHarbich at t-online.de:
> ich betreibe einen eigenen Mailserver mit folgenden Komponenten
> (Postfix/Dovecot/LDAP/Fail2Ban/Sieve/RSPAM). Am 24.12.2022 hatte ich einen
> Angriff auf meine Mail Infrastruktur. Darauf hin wurde mir der Port 25
> Richtung Internet vom ISP eingeschränkt. Ein Mailkonto wurde gehackt.
Tatsächlich auf Deine Infrastruktur oder nur auf einen Client / Credentials / mynetworks / ?
> Von dort wurden SPAM Mail's versendet.
Da 25 outbound betroffen würd ich das eher bei Postfix/Config/Credentials verorten, nicht
bei Dovecot (es sei denn der hat versendet).
> Um nun sicher zu gehen das sich kein
> Trojaner eingenistet hat bräuchte ich kurz Eure Unterstützung.
Wenn Du rausbekommen willst, wie es dazu gekommen ist, helfen die Postfix-Logs (da
der MTA ja per 25 in die Welt redet).
Gehst Du aktuell davon aus, dass auf dem Server selbst jemand gewesen ist, sprich
sender ist localhost? In dem Fall wäre der aktuell sowieso komplett verbrannt und müsste
komplett neu installiert / aus ggf. mehreren Backups wiederhergestellt werden (aktuelle
Nutzerdaten, System zu einem Zeitpunkt als sicher noch keiner drin war).
> Ich sehe im
> Sever journalctl immer noch folgende Einträge eines Postfach das ich
> gelöscht habe. Wie kann das sein? Kann ich ermitteln wer diese Anfrage
> stellt?
>
> ...
> Dez 25 16:35:25 dsme01 dovecot[9180]: imap-login: Login:
> user=<voicemail at example.com>, method=PLAIN, rip=192.168.20.20, mpid=55843,
> TLS, TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits),
> session=<9m1/xKjwwNXAqBQU>
Erfolgreicher Login der rip=192.168.20.20 (RemoteIP - Gerät/VM, das ein Interface mit der
IP hat, hat sich erfolgreich eingeloggt). Sofern die 192.168.20.20 kein NAT macht kommen
die Logins daher - welches Gerät hat die IP? Ein Server der versucht voicemails abzurufen?
> Dez 25 19:15:23 dsme01 dovecot[9180]: imap-login: Disconnected (auth
> failed, 4 attempts in 20 secs): user=<voicemail at example.com>, method=PLAIN,
> rip=192.168.20.20, TLS, TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256
> bits), session=<2UVf/6rwepHAqBQU>
Gleiches Gerät versucht das Selbe, der Login ist aber nicht mehr möglich, jetzt falsche
Zugangsdaten.
Ohne zu wisssen, was genau die 192.168.20.20 ist gerade ein bisschen Stochern im
Trüben.
--
Viele Grüße
Tom
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listen.jpberlin.de/pipermail/dovecot/attachments/20221227/27fbb7a7/attachment.htm>
Mehr Informationen über die Mailingliste Dovecot