Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 2263 views
  • Users 0 members are here
Options
Suggested

[7.920][BUG][OPEN] Failed SMTP relay login is showing up on Last WebAdmin logins

darrenl
Hi All,

Found that three failed SMTP relay attempts at login authentication failed and showed up on the WebAdmin logins (see pic)... 

Extract from user authentication log:

2010:06:04-17:48:49 mercury-1 aua[2395]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="test" caller="smtp" reason="DENIED"
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.920
    Type: BUG
    State: CONFIRMED/OPEN
    Reporter: darrenl++
    Contributor: wingman
    MantisID: 14019
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    This is exactly the way it has been designed to work. Ingo wrote about it in another thread before. Can you please explain why you expected it to not show these entries? Maybe we have to filter some of the authentication events here.
  • 0
    Hi Kai,

    Understood regarding successful and failed WebAdmin logins but this was a failed smtp relay login that appeared on the webadmin summary page (and is still occurring).

    Cheers,

    Darren
  • 0
    So i guess you expect that only webadmin sessions are shown in this list?
  • 0
    Well yes, on the top of the page it's titled "Last WebAdmin sessions".
    [:D]
  • 0
    Management decided that in the future, we will only show WebAdmin logins, even though information about other failed logins is readily available (of course, it would make sense to mark the facility the other failed logins belong to, but that would be feasible).

    Of course, you can still get at the hidden information using the shell prompt:

     # cc
     [...]
     127.0.0.1 MAIN > RAW                                                           
     Switched to RAW mode.
     127.0.0.1 RAW > help userlog_read                                               

     SYNOPSIS: parse the Confd log for display in the WebAdmin
     ARGUMENTS: All arguments are optional and given as key => value pairs:
      facility => string: only report changes by this facility; multiple
        facilities can be joined by commata as in: "webadmin,acc-agent"
      time => only use the log file of one single day; can be given either
        as the number of seconds since the Epoch or as a string YYYY:MM[:D]D.
      max  => integer: limit the number of sessions to return, defaults to 20
      sid  => string: only report on one single session, implies max => 1
     RETURNS: An array reference containing hashes.
      Each hash represents one Confd session.
      
     127.0.0.1 RAW > quit                                                            
     # cc userlog_read

    Typing just "cc userlog_read" gives you the full information, including all facilities; the WebAdmin will use the equivalent of the following in the future:

     # cc userlog_read facility webadmin,acc_agent

    Yours,
      Ingo
Unfiltered HTML