Mon serveur dédié a t-il été hacké? Log postfix et dovecot toutes les 2 minutes

Bonjour,

dans le fichier /var/log/mail.info, j’ai toutes les 2 minutes, des infos me disant que quelque chose se connecte en local au serveur postifx de mon serveur dédié, pour toute suite se déconnecter, et se connecte aussi au serveur dovecot, du coup ça pollue mes logs, comme ceci :

Dec 18 16:03:34 ns postfix/smtpd[13209]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:03:34 ns postfix/smtpd[13209]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:03:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<r9Syt4wp5gB/AAAB>
Dec 18 16:05:34 ns postfix/smtpd[13444]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:05:34 ns postfix/smtpd[13444]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:05:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<6EPavowpQAB/AAAB>
Dec 18 16:07:34 ns postfix/smtpd[13641]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:07:34 ns postfix/smtpd[13641]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:07:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<dpgBxowpoAB/AAAB>
Dec 18 16:09:34 ns postfix/smtpd[13884]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:09:34 ns postfix/smtpd[13884]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:09:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<ZgYpzYwpGwB/AAAB>
Dec 18 16:11:34 ns postfix/smtpd[14026]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:11:34 ns postfix/smtpd[14026]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:11:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<jIxQ1IwpcwB/AAAB>
Dec 18 16:12:55 ns spamd[6829]: spamd: server killed by SIGTERM, shutting down
Dec 18 16:13:34 ns postfix/smtpd[14313]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:13:34 ns postfix/smtpd[14313]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:13:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<rfl324wp7QB/AAAB>
Dec 18 16:15:34 ns postfix/smtpd[14766]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:15:34 ns postfix/smtpd[14766]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:15:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<noOf4owpdQB/AAAB>

Donc je voudrais savoir comment savoir qui ou quoi n’arrête pas de se connecter à mon serveur postfix et à mon serveur dovecot en local sur mon serveur dédié ?

Merci d’avance

Bonjour,

ceci devrait peut etre t’aider: https://bobcares.com/blog/dovecot-imap-login-aborted-login/

Si ça peut te rassurer:
francois@hermes:~$ grep -c ‹ pam_unix(smtp:auth): authentication failure › /var/log/auth.log
9525
francois@hermes:~$ grep -c ‹ pam_unix(smtp:auth): authentication failure › /var/log/auth.log.1
18605

Donc 18000 tentatives en 7 jours soit pas loin de 2 par minutes… Et j’ai fail2ban…

Fail23ban ne te sert à rien, les logs viennent tous d’une connexion sur le localhost.

As-tu vérifié chacun des 5 points évoqués dans le lien que je t’ai donné, en particulier le point 5?

Là tu te trompes de personne
sqlite> select count() from bans;
113873
sqlite> select count(distinct ip) from bans;
10451
sqlite>select count() from bans where jail like ‹ postfix% ›;
40100
sqlite> select count(*) from bans where jail like ‹ %ssh% ›;
73704
et j’effaxce régulièrement la base

Regarde ce que tu as en ligne pour trouver le coupable …

il te faudra pousser les logs dovecot en debug mais ça va débiter sévère et après pour postfix : Howto déboguage Postfix

Merci pour vos réponses,

j’ai trouvé la cause du problème qui était monit, car dans le fichier /etc/monitrc, j’avais ça :

## Start Monit in the background (run as a daemon):
#
  set daemon 120            # check services at 2-minute intervals
   with start delay 120    # optional: delay the first check by 4-minutes (by 
#                           # default Monit check immediately after Monit start)


#Postfix :
check process postfix with pidfile /var/spool/postfix/pid/master.pid
start program = "/etc/init.d/postfix start"
stop program  = "/etc/init.d/postfix stop"
if failed host localhost port 25 protocol smtp then restart

#Dovecot :
check process dovecot with pidfile /var/run/dovecot/master.pid
start program = "/etc/init.d/dovecot start"
stop program  = "/etc/init.d/dovecot stop"
if failed host localhost port 143 protocol imap then restart

, donc à cause du paramètre set daemon 120, monit surveille les services postifx et dovecot en testant la connexion de ces services toutes les 120 secondes (soit 2 minutes), c’est pourquoi j’ai toutes les 2 minutes des logs de postfix et de dovecot dans le fichier /var/log/mail.log