Seltsame Logs

AnonymusChaotic · Beitrag von **AnonymusChaotic** » 05.07.2015 23:39:07

Mein Mailserver gibt seit kurzem seltsame Logs aus (unter /var/log/mail.log), hier mal ein kurzer Ausschnitt.

Was hat es damit auf sich?

Code: Alles auswählen

Jul  5 04:17:26 vserver-kd12345 postfix/smtpd[9161]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:26 vserver-kd12345 postfix/smtpd[9161]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:26 vserver-kd12345 postfix/smtpd[9085]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:26 vserver-kd12345 postfix/smtpd[9085]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:26 vserver-kd12345 postfix/smtpd[9157]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:26 vserver-kd12345 postfix/smtpd[9157]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:26 vserver-kd12345 postfix/smtpd[9328]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:26 vserver-kd12345 postfix/smtpd[9328]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:27 vserver-kd12345 postfix/smtpd[9326]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:27 vserver-kd12345 postfix/smtpd[9326]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:27 vserver-kd12345 postfix/smtpd[9072]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:27 vserver-kd12345 postfix/smtpd[9072]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:27 vserver-kd12345 postfix/smtpd[9070]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:27 vserver-kd12345 postfix/smtpd[9070]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:28 vserver-kd12345 postfix/smtpd[9084]: connect from unknown[219.93.60.85]
Jul  5 04:17:28 vserver-kd12345 postfix/smtpd[9329]: connect from unknown[219.93.60.85]
Jul  5 04:17:32 vserver-kd12345 postfix/smtpd[9087]: connect from unknown[219.93.60.85]
Jul  5 04:17:33 vserver-kd12345 postfix/anvil[9065]: statistics: max connection rate 78/60s for (smtp:219.93.60.85) at Jul  5 04:07:53
Jul  5 04:17:33 vserver-kd12345 postfix/anvil[9065]: statistics: max connection count 24 for (smtp:219.93.60.85) at Jul  5 04:12:58
Jul  5 04:17:33 vserver-kd12345 postfix/smtpd[9329]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:33 vserver-kd12345 postfix/smtpd[9329]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:33 vserver-kd12345 postfix/smtpd[9084]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:33 vserver-kd12345 postfix/smtpd[9084]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:37 vserver-kd12345 postfix/smtpd[9087]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:37 vserver-kd12345 postfix/smtpd[9087]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:46 vserver-kd12345 postfix/smtpd[9062]: connect from unknown[219.93.60.85]
Jul  5 04:17:47 vserver-kd12345 postfix/smtpd[9073]: connect from unknown[219.93.60.85]
Jul  5 04:17:50 vserver-kd12345 postfix/smtpd[9133]: connect from unknown[219.93.60.85]
Jul  5 04:17:50 vserver-kd12345 postfix/smtpd[9156]: connect from unknown[219.93.60.85]
Jul  5 04:17:50 vserver-kd12345 postfix/smtpd[9154]: connect from unknown[219.93.60.85]
Jul  5 04:17:51 vserver-kd12345 postfix/smtpd[9062]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:51 vserver-kd12345 postfix/smtpd[9062]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:53 vserver-kd12345 postfix/smtpd[9073]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:53 vserver-kd12345 postfix/smtpd[9073]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:54 vserver-kd12345 postfix/smtpd[9328]: connect from unknown[219.93.60.85]
Jul  5 04:17:54 vserver-kd12345 postfix/smtpd[9072]: connect from unknown[219.93.60.85]
Jul  5 04:17:54 vserver-kd12345 postfix/smtpd[9133]: lost connection after AUTH from unknown[219.93.60.85]
Jul  5 04:17:54 vserver-kd12345 postfix/smtpd[9133]: disconnect from unknown[219.93.60.85]
Jul  5 04:17:54 vserver-kd12345 postfix/smtpd[9154]: lost connection after AUTH from unknown[219.93.60.85]

pferdefreund · Beitrag von **pferdefreund** » 06.07.2015 06:27:43

Sieht nach Angriff aus - ist ein Server (Windows XP) aus Malaysia - laut IP-Adresse und nmap. Hat aber wohl nicht geklappt. Da wollte wohl einer spammen.

uname · Beitrag von **uname** » 06.07.2015 08:47:21

Windows XP

Somit wohl eher ein Privatanwender mit einem veralteten Betriebssystem und etwas Malware auf seinem Rechner. Ich glaube der "Angreifer" weiß nichts von seinem Glück. Er wundert sich vielleicht über eine etwas langsame Internetverbindung, da er bestimmt Tausende Server parallel angreift. Ich kann mir richtig vorstellen wie er auf seinen Provider und sein Windows flucht, welches doch 10 Jahre problemlos lief. Naja mit Linux wäre das wohl nicht passiert.

peppie · Beitrag von **peppie** » 10.07.2015 18:52:35

Das ist ein sinnvolles Einsatzgebiet von Fail2ban.

debianforum.de

Seltsame Logs

Seltsame Logs

Re: Seltsame Logs

Re: Seltsame Logs

Re: Seltsame Logs