Mon serveur dédié a t-il été hacké?

Tags: #<Tag:0x00007f2c9914dd28>

Bonjour,

dans le fichier /var/log/mail.info, j’ai toutes les 2 minutes, des infos me disant que quelque chose se connecte en local au serveur postifx de mon serveur dédié, pour toute suite se déconnecter, et se connecte aussi au serveur dovecot, du coup ça pollue mes logs, comme ceci :

Dec 18 16:03:34 ns postfix/smtpd[13209]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:03:34 ns postfix/smtpd[13209]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:03:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<r9Syt4wp5gB/AAAB>
Dec 18 16:05:34 ns postfix/smtpd[13444]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:05:34 ns postfix/smtpd[13444]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:05:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<6EPavowpQAB/AAAB>
Dec 18 16:07:34 ns postfix/smtpd[13641]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:07:34 ns postfix/smtpd[13641]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:07:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<dpgBxowpoAB/AAAB>
Dec 18 16:09:34 ns postfix/smtpd[13884]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:09:34 ns postfix/smtpd[13884]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:09:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<ZgYpzYwpGwB/AAAB>
Dec 18 16:11:34 ns postfix/smtpd[14026]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:11:34 ns postfix/smtpd[14026]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:11:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<jIxQ1IwpcwB/AAAB>
Dec 18 16:12:55 ns spamd[6829]: spamd: server killed by SIGTERM, shutting down
Dec 18 16:13:34 ns postfix/smtpd[14313]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:13:34 ns postfix/smtpd[14313]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:13:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<rfl324wp7QB/AAAB>
Dec 18 16:15:34 ns postfix/smtpd[14766]: connect from localhost.localdomain[127.0.0.1]
Dec 18 16:15:34 ns postfix/smtpd[14766]: disconnect from localhost.localdomain[127.0.0.1]
Dec 18 16:15:34 ns dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, secured, session=<noOf4owpdQB/AAAB>

Donc je voudrais savoir comment savoir qui ou quoi n’arrête pas de se connecter à mon serveur postfix et à mon serveur dovecot en local sur mon serveur dédié ?

Merci d’avance

Bonjour,

ceci devrait peut etre t’aider: https://bobcares.com/blog/dovecot-imap-login-aborted-login/

Si ça peut te rassurer:
francois@hermes:~$ grep -c ‹ pam_unix(smtp:auth): authentication failure › /var/log/auth.log
9525
francois@hermes:~$ grep -c ‹ pam_unix(smtp:auth): authentication failure › /var/log/auth.log.1
18605

Donc 18000 tentatives en 7 jours soit pas loin de 2 par minutes… Et j’ai fail2ban…

Fail23ban ne te sert à rien, les logs viennent tous d’une connexion sur le localhost.

As-tu vérifié chacun des 5 points évoqués dans le lien que je t’ai donné, en particulier le point 5?

Là tu te trompes de personne :slight_smile:
sqlite> select count() from bans;
113873
sqlite> select count(distinct ip) from bans;
10451
sqlite>select count(
) from bans where jail like ‹ postfix% ›;
40100
sqlite> select count(*) from bans where jail like ‹ %ssh% ›;
73704
et j’effaxce régulièrement la base :slight_smile:

Regarde ce que tu as en ligne pour trouver le coupable …

il te faudra pousser les logs dovecot en debug mais ça va débiter sévère et après pour postfix : Howto déboguage Postfix