Einträge in mail.log


ludwigklr

ludwigklr

Member
Hallo, gibt es eine Erklärung für die log Einträge von postfix in mail.log ?

Ich suche z.B. nach

ehlo=2 , starttls=1 , auth=1, mail=1, rcpt=31, nrcpt=1 und sasl_username=xxxx@yyy

wurde der sasl_username so benutzt?
 
Ob der Username per SASL so benutzt wurde, schau mal nach mit
egrep -i 'sasl|smtpd|auth' /var/log/mail.log | grep 'username=xxxx@yyy'
 
Last edited:
GwenDragon said:
Ob der Username per SASL so benutzt wurde, schau mal nach mit
egrep -i 'sasl|smtpd|auth' /var/log/mail.log | grep 'username=xxxx@yyy'
Click to expand...

Hallo, ja dort finde ich Einträge z.B. :

Code: 
Feb 26 11:20:25 test postfix/submission/smtpd[1274547]: 0BC03208F9: client=unknown[103.213.193.49], sasl_method=LOGIN, [email protected]

nur merkwürdig ist [email protected] gibt es auf dem System nicht. Das System
heißt test.owl.de und in der sasldb2 gibt es keinen Eintrag für [email protected]
Die Einträge dort sind alle für die Domain [email protected]. In /var/log/auth.log taucht
auch nichts davon auf.
 
Der Username hat aber ein Login bei deinem Postfix bekommen.
Ein fehlgeschlagener Login sähe so aus
Feb 27 12:53:12 s2 postfix/smtpd[2642840]: warning: unknown[195.211.191.25]: SASL LOGIN authentication failed: authentication failure, sasl_username=master
 
GwenDragon said:
Der Username hat aber ein Login bei deinem Postfix bekommen.
Ein fehlgeschlagener Login sähe so aus
Feb 27 12:53:12 s2 postfix/smtpd[2642840]: warning: unknown[195.211.191.25]: SASL LOGIN authentication failed: authentication failure, sasl_username=master
Click to expand...

Ja und nicht nur einen es waren über 2000 bis ich die IP Adresse gesperrt habe und ich weiß nicht
wie das passiert ist. Es wurden 50 Mails mit einer Anmeldung abgeladen und als Spam verteilt.
 
Nachdem 103.213.193.49 ist eine indische IP ist, denke ich, dass das Login für [email protected] geknackt oder das Passwort per Keylogger o.ä. vom PC/Smartphone gestohlen wurde.
 
Last edited:
ludwigklr said:
Hallo,

vermute ich auch. Bloß wie wenn es den Account [email protected] auf dem System überhaupt nicht gibt
Click to expand...

Hallo,

ich habe etwas gefunden. In der /etc/defaul/saslauthd stand unter MECHANISMS="pam sasldb" drin.
Meine Vermutung der Zugriff passierte über pam denn den user ludwig gab es auf test.owl.de und mit einem
passwort konnte sich der Angreifer anmelden und seinen Schrott abladen.

Jetzt habe ich den user totgelegt und nur noch über sasldb kann eine Authentifizierung erfolgen
 
GwenDragon said:
Der Username hat aber ein Login bei deinem Postfix bekommen.
Click to expand...
Nö, hat er nicht ;-)
Es wurde lediglich die LOGIN-Methode verwendet, mehr (also ob erfolgreich oder nicht) steht in der zitierten Logzeile nicht.

Code: 
grep -i "1274547" /var/log/mail.log
 
You must log in or register to reply here.

Back
Top