Forum
Arkadaşlar merhaba, Sıkıntım Mail Enable Pro. v5 sunucumuzda bir kaç zamandır aldığım şifre bulma girişimleri.
Kısaca sorun şöyle; Sunucu üzerinde bulunan farklı domainlere ait mail kutularının şifreleri bulumaya çalışılıyor. Örn: Ozan ismiyle ilgili onlarca şifre kombinasyonu deneniyor, Aşağıda kısaca bir log kaydı verdim bu kayıt bir günlük logda ortalama olarak 5000satır, yani sürekli deneniyor gibi. Bunu Hotmailden dönen uyarılarından fark ettim ve kontrol ettim. Bir kullanıcının şifresi bulunmuş ve v_asdqwdas@hot... gibi adrese onlarca mail göndermiş.
Bir müşterimin mail şifresini çaldırdığını düşünerek şifresini değiştirip sorunu aştık sonra birisi sonra birisi daha olunca şifrelerden olmadığını düşünmeye başladım. Sunucuyu Nod32 ile tarattığımızda bir zararlı bulamadı. Sizce ne yapmalıyım örn: Servers->Localhost->Smtp->Settings->Inbound başlığı altında Ip Adress Connection Restrictions var bu saldırı yaptığını bildiğim ipleri engellemeye yararmı, nasıl kullanılır. Veya farklı bir savunma yöntemi varmıdır.
Servers->Localhost->Settings->Policies başlığı altında Enable Abuse Detection and Prevention var bu neye göre çalışır bilen varmıdır.
Şuanda ilk yaptığım şey bir kutu için 10 başarısız şifre denemesinde 1 saat bloke ediyorum kutuyu.
Forumda arama yaptım ama biraz benzer olarak aşağıdaki başlığı buldum fakat durum tam aynı olmadığı ve dönüş alınamadığı için başlık açma gereği duydum.
http://www.cozumpark.com/forums/thread/358508.aspx
----LOG----
11/18/12 04:04:35 SMTP-IN C9DA20975B5547989BF216DCBA739634.MAI 1316 203.209.165.159 AUTH AUTH LOGIN 334 VXNlcm5hbWU6 18 12
11/18/12 04:04:36 SMTP-IN B8E1A37C6D4845FDBBCDF025330CDC04.MAI 932 203.209.165.159 AUTH AUTH LOGIN 334 VXNlcm5hbWU6 18 12
11/18/12 04:04:36 SMTP-IN B23AA350C31A43A78E2D318B00E474A0.MAI 1044 203.209.165.159 AUTH AUTH LOGIN 334 VXNlcm5hbWU6 18 12
11/18/12 04:04:36 SMTP-IN 85E0AE9ADF3741D58926777435770265.MAI 1280 203.209.165.159 AUTH AUTH LOGIN 334 VXNlcm5hbWU6 18 12
11/18/12 04:04:36 SMTP-IN C9DA20975B5547989BF216DCBA739634.MAI 1316 203.209.165.159 AUTH {blank} 334 UGFzc3dvcmQ6 18 10 salmon
11/18/12 04:04:36 SMTP-IN 55AF2EB1E62F40B699B3BF560D8F82E0.MAI 1076 203.209.165.159 AUTH AUTH LOGIN 334 VXNlcm5hbWU6 18 12
11/18/12 04:04:36 SMTP-IN B8E1A37C6D4845FDBBCDF025330CDC04.MAI 932 203.209.165.159 AUTH {blank} 334 UGFzc3dvcmQ6 18 10 salmon
11/18/12 04:04:36 SMTP-IN B23AA350C31A43A78E2D318B00E474A0.MAI 1044 203.209.165.159 AUTH {blank} 334 UGFzc3dvcmQ6 18 10 salmon
11/18/12 04:04:37 SMTP-IN 85E0AE9ADF3741D58926777435770265.MAI 1280 203.209.165.159 AUTH {blank} 334 UGFzc3dvcmQ6 18 10 salmon
11/18/12 04:04:37 SMTP-IN C9DA20975B5547989BF216DCBA739634.MAI 1316 203.209.165.159 AUTH c2FsbW9u 504 Invalid Username or Password 34 10 salmon
11/18/12 04:04:37 SMTP-IN 55AF2EB1E62F40B699B3BF560D8F82E0.MAI 1076 203.209.165.159 AUTH {blank} 334 UGFzc3dvcmQ6 18 10 salmon
11/18/12 04:04:37 SMTP-IN B8E1A37C6D4845FDBBCDF025330CDC04.MAI 932 203.209.165.159 AUTH c2FsbW9u 504 Invalid Username or Password 34 10 salmon
11/18/12 04:04:37 SMTP-IN B23AA350C31A43A78E2D318B00E474A0.MAI 1044 203.209.165.159 AUTH c2FsbW9u 504 Invalid Username or Password 34 10 salmon
11/18/12 04:04:37 SMTP-IN 85E0AE9ADF3741D58926777435770265.MAI 1280 203.209.165.159 AUTH c2FsbW9u 504 Invalid Username or Password 34 10 salmon
11/18/12 04:04:37 SMTP-IN 55AF2EB1E62F40B699B3BF560D8F82E0.MAI 1076 203.209.165.159 AUTH c2FsbW9u 504 Invalid Username or Password 34 10 salmon
11/18/12 04:04:38 SMTP-IN C9DA20975B5547989BF216DCBA739634.MAI 1316 203.209.165.159 QUIT QUIT 221 Service closing transmission channel 42 6 salmon
11/18/12 04:04:38 SMTP-IN B8E1A37C6D4845FDBBCDF025330CDC04.MAI 932 203.209.165.159 QUIT QUIT 221 Service closing transmission channel 42 6 salmon
11/18/12 04:04:38 SMTP-IN B23AA350C31A43A78E2D318B00E474A0.MAI 1044 203.209.165.159 QUIT QUIT 221 Service closing transmission channel 42 6 salmon
11/18/12 04:04:38 SMTP-IN 85E0AE9ADF3741D58926777435770265.MAI 1280 203.209.165.159 QUIT QUIT 221 Service closing transmission channel 42 6 salmon
11/18/12 04:04:38 SMTP-IN 55AF2EB1E62F40B699B3BF560D8F82E0.MAI 1076 203.209.165.159 QUIT QUIT 221 Service closing transmission channel 42 6 salmon
Merhaba;
Sunucunuza bulaşmış bir virüsten dolayı dışardan saldırı alıyor olabilirsiniz, nod32 bence pek başarılı bir antivirüs programı değil, size tavsiyem
Dosyasını indirip cd ye yazın ve sunucunuzu bununla tarayın, muhtemel olarak sunucunuz virüslerden arınacaktır. Kullanımı çok basit bootable olarak açılıyor linux tabanlı çalışan bir sistem, sisteminizi tarama yapmadan önce program versiyonunu update edip tarama işlemine başlayın, umarım yardımcı olur.
Kolay gelsin
İyi Çalışmalar
Erkan bey teşekkür ederim cevap için fakat sunucu ne yazık ki datacenter da.