Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 2269 views
  • Users 0 members are here
Options
Suggested

[7.920][BUG][OPEN] Failed SMTP relay login is showing up on Last WebAdmin logins

darrenl
Hi All,

Found that three failed SMTP relay attempts at login authentication failed and showed up on the WebAdmin logins (see pic)... 

Extract from user authentication log:

2010:06:04-17:48:49 mercury-1 aua[2395]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="test" caller="smtp" reason="DENIED"
Parents
  • 0
    Management decided that in the future, we will only show WebAdmin logins, even though information about other failed logins is readily available (of course, it would make sense to mark the facility the other failed logins belong to, but that would be feasible).

    Of course, you can still get at the hidden information using the shell prompt:

     # cc
     [...]
     127.0.0.1 MAIN > RAW                                                           
     Switched to RAW mode.
     127.0.0.1 RAW > help userlog_read                                               

     SYNOPSIS: parse the Confd log for display in the WebAdmin
     ARGUMENTS: All arguments are optional and given as key => value pairs:
      facility => string: only report changes by this facility; multiple
        facilities can be joined by commata as in: "webadmin,acc-agent"
      time => only use the log file of one single day; can be given either
        as the number of seconds since the Epoch or as a string YYYY:MM[:D]D.
      max  => integer: limit the number of sessions to return, defaults to 20
      sid  => string: only report on one single session, implies max => 1
     RETURNS: An array reference containing hashes.
      Each hash represents one Confd session.
      
     127.0.0.1 RAW > quit                                                            
     # cc userlog_read

    Typing just "cc userlog_read" gives you the full information, including all facilities; the WebAdmin will use the equivalent of the following in the future:

     # cc userlog_read facility webadmin,acc_agent

    Yours,
      Ingo
Reply
  • 0
    Management decided that in the future, we will only show WebAdmin logins, even though information about other failed logins is readily available (of course, it would make sense to mark the facility the other failed logins belong to, but that would be feasible).

    Of course, you can still get at the hidden information using the shell prompt:

     # cc
     [...]
     127.0.0.1 MAIN > RAW                                                           
     Switched to RAW mode.
     127.0.0.1 RAW > help userlog_read                                               

     SYNOPSIS: parse the Confd log for display in the WebAdmin
     ARGUMENTS: All arguments are optional and given as key => value pairs:
      facility => string: only report changes by this facility; multiple
        facilities can be joined by commata as in: "webadmin,acc-agent"
      time => only use the log file of one single day; can be given either
        as the number of seconds since the Epoch or as a string YYYY:MM[:D]D.
      max  => integer: limit the number of sessions to return, defaults to 20
      sid  => string: only report on one single session, implies max => 1
     RETURNS: An array reference containing hashes.
      Each hash represents one Confd session.
      
     127.0.0.1 RAW > quit                                                            
     # cc userlog_read

    Typing just "cc userlog_read" gives you the full information, including all facilities; the WebAdmin will use the equivalent of the following in the future:

     # cc userlog_read facility webadmin,acc_agent

    Yours,
      Ingo
Children
No Data
Unfiltered HTML