[問題] 有人在踹 SMTP 但是沒看到IP ?

作者chang0206 (Eric Chang)

看板Linux

標題[問題] 有人在踹 SMTP 但是沒看到IP ?

時間Thu Jan 12 09:42:32 2012

最近 /var/log/messages 裏面一直出現 Jan 12 08:43:30 mail saslauthd[17204]: do_auth : auth failure: [user=xxxxx] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error] 這種錯誤訊息，看樣子應該是有人在踹SMTP ，但是驗證不過這樣不過在messages裏面沒有帶IP，所以我想寫入hosts.deny也沒辦法請問還有哪些log 可以作為判斷IP的參考？？ -- 會當凌絕頂，一覽眾山小。 —— 杜甫 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 113.196.143.50

→ kdjf:postfix自己的log? (亂猜的, 我沒用過 01/12 09:49

→ chang0206:感謝樓上給靈感！去看maillog找auth failed的紀錄 01/12 10:06

→ chang0206:再比對時間就真的找到兇手了 XD 01/12 10:07

推 asadfish:用 fail2ban 來擋吧，一個一個寫 hosts.deny 會寫到哭 01/12 18:41

推 hukhuk:/var/log/secure 會不會也有呀 01/12 18:53