Где искать вирус, подбирающий пароли exim?

Question

[photosho]

В "var/log/exim" лог "main.log" разросся на 170 000 записей за один день. Думаю, какой-то вирус проник и пытается подбирать пароли. Сообщения в логе следующего типа:

2021-10-05 16:56:49 no host name found for IP address 31.130.184.147
2021-10-05 16:56:49 no host name found for IP address 31.130.184.76
2021-10-05 16:56:50 auth_login authenticator failed for (localhost) [31.130.184.194]: 535 Incorrect authentication data (set_id=senior1@site.ru)
2021-10-05 16:56:50 auth_login authenticator failed for (localhost) [31.130.184.198]: 535 Incorrect authentication data (set_id=caffeine@site.ru)

"site.ru" - сайт на сервере. Лог обновляется с очень маленькими временными промежутками (чуть ли не каждую секунду). Смотрел задания cron в "var/spool/cron" и ничего не нашел. Что это может быть и где искать запускающие скрипты?

Comments

[Sand]

А у Вас часом веб-морды нету для почты?

[photosho]

Sand имеете в виду почтовый клиент?

[photosho]

Sand если да, то я не нашел. На сервере установлен ISP Manager, у него есть ссылка на Round Cube, но по этой ссылке ничего не открывается - видимо, клиент не установлен.

[Alexey Dmitriev]

Если у вас сайт требует только отправки почты, переведите почтовый сервер на localhost, пусть слушает только loopback интерфейс.

Answer 1

[Александр Фалалеев]

Почему вирус-то ? По логу же видно что из вне пытаются соединиться.

fail2ban свежий с "прогрессивным" баном быстро заблокирует ip вражин сначала на часы, потом на дни а потом и на месяцы :)

Если нужно то правила fail2ban для exim для параноиков скину :)

Comments

[photosho]

Извне или изнутри. но, думаю, из-за этого блокируется отправка почтовых сообщений: "Server reached ratelimit on hosting provider". Думаем как раз на этот лог.

[Александр Фалалеев]

photosho, ну раз Вы пишите что чуть ли не раз в секунду, то да такой вот ddos по 25 порту вылезает за лимиты хостера.

[photosho]

Понял, спасибо, попробую Fail2Ban.

[Александр Фалалеев]

photosho,

1.

Напоминаю что свежий нужен от 0.11

2.

В jail.local должно быть:

[exim]
filter = exim_auth
port = smtp,465,imap,submission
maxretry = 2
logpath = /var/log/exim/main.log
enabled = true
backend=polling
bantime.increment = true
protocol = tcp

3.

А в папке filter.d создать файл exim_auth.conf с cодержимым:

[Definition]
failregex = \[<HOST>\]: 535 Incorrect authentication data
            no host name found for IP address <HOST>
            rejected because <HOST>
            rejected HELO from (.*)\[<HOST>\]
            rejected EHLO from (.*)\[<HOST>\]
            SMTP command timeout on connection from (.*)\[<HOST>\]
            SMTP syntax error (.*)\[<HOST>\]
            unqualified verify rejected: (.*)\[<HOST>\]
            TLS error on connection from (.*)\[<HOST>\]
            \[<HOST>\] dropped: too many unrecognized commands
            \[<HOST>\] unrecognized command
            \[<HOST>\] sender verify fail for
            \[<HOST>\] (.*)failed to find host name from IP address
            \[<HOST>\] (.*)Unknown user
            \[<HOST>\] (.*)relay not permitted
            synchronization error (.*)\[<HOST>\]
            \[<HOST>\] (.*)rejected after DATA
ignoreregex =

Answer 2

[CityCat4]

Блин, да Вас просто кто-то атакует, только и всего. Я таких периодически отстреливаю, правда я глушу вручную - сразу и навсегда. Могу списком для ipset поделиться.