[Jderobot-admin] Agarraos, que vienen curvas

Borja Mon Serrano borjamonserrano en gmail.com
Mie Nov 28 12:20:50 CET 2012 

Últimamente, con los problemas que estamos teniendo en el servidor (que
está casi más tiempo caído que de pie, básicamente) me ha dado por ir
analizando los syslogs cada día... Y he encontrado cosas que no me han
gustado mucho.

La primera:

Nov 27 07:06:17 jderobot postfix/smtpd[14454]: connect from
unknown[203.132.202.7]
Nov 27 07:06:46 jderobot postfix/smtpd[14454]: warning: Illegal address
syntax from unknown[203.132.202.7] in MAIL command: <vvvvww en 193.147.15.110>
Nov 27 07:06:46 jderobot postfix/smtpd[14454]: improper command pipelining
after DATA from unknown[203.132.202.7]
Nov 27 07:06:46 jderobot postfix/smtpd[14454]: warning: Illegal address
syntax from unknown[203.132.202.7] in MAIL command: <vvvvww en 193.147.15.110>
Nov 27 07:06:46 jderobot postfix/smtpd[14454]: warning: Illegal address
syntax from unknown[203.132.202.7] in MAIL command: <eef en 193.147.15.110>
Nov 27 07:06:47 jderobot postfix/smtpd[14454]: warning: Illegal address
syntax from unknown[203.132.202.7] in MAIL command: <eef en 193.147.15.110>
Nov 27 07:06:50 jderobot postfix/smtpd[14454]: warning: Illegal address
syntax from unknown[203.132.202.7] in MAIL command: <xyyabb en 193.147.15.110>
Nov 27 07:06:54 jderobot postfix/smtpd[14454]: warning: Illegal address
syntax from unknown[203.132.202.7] in MAIL command: <xyyabb en 193.147.15.110>
Nov 27 07:06:58 jderobot postfix/smtpd[14454]: warning: Illegal address
syntax from unknown[203.132.202.7] in MAIL command: <aab en 193.147.15.110>
Nov 27 07:07:01 jderobot postfix/smtpd[14454]: too many errors after RCPT
from unknown[203.132.202.7]
Nov 27 07:07:01 jderobot postfix/smtpd[14454]: disconnect from
unknown[203.132.202.7]

Corregidme si me equivoco, pero esto tiene pinta de que están utilizando /
intentando utilizar jderobot como servidor de correo. Mirando de dónde
viene esa IP he visto que está ubicada en Hong Kong.

Unas cuantas horas más tarde hubo un intento de conexión desde otro sitio
desconocido también:

Nov 27 22:22:44 jderobot postfix/smtpd[31676]: connect from
dbserver.meteksan.net.tr[213.139.192.7]
Nov 27 22:22:46 jderobot postfix/smtpd[31676]: disconnect from
dbserver.meteksan.net.tr[213.139.192.7]

En este caso esa IP viene de Turquía.

Evidentemente esto no creo que sea el mayor problema que tengamos ahora
mismo, pero está claro que habría que solucionarlo. ¿Ideas al respecto?
¿Valdría la aplicación que comentaste, Óscar, que se llamaba fail2ban o no
es para este propósito?

Un saludo,

Borja.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://gsyc.escet.urjc.es/pipermail/jderobot-admin/attachments/20121128/b613807b/attachment.htm

More information about the Jderobot-admin mailing list