unknown webadmin login-fail after 8.100 to 8.101

Look in the User Authentication Daemon log for each of your failed events. Here it will tell you what part of Astaro the failed attempt came from, such as SMTP for example. Note the time and date of each event. Now go to the log for the applicable component of Astaro, the SMTP proxy log for example, and you can search by keyword or just go to the correct time/date to find the entries for the failed login attempts. These will show the source IP address for the attempt.

The failed events listet there should only be webadmin login attempts. Is your webadmin access open to Any? Which port do you use for webadmin?
Gert

Thanks Scott ,Gert !

pls check log 


from USER AUTH ::

/var/log/aua.log:2011:01:23-09:37:38 acenn aua[12447]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="torvalds" caller="smtp" reason="DENIED"

/var/log/aua.log:2011:01:23-09:57:50 acenn aua[8551]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="larry" caller="smtp" reason="DENIED" 

from SMTP LOG:

2011:01:23-09:51:59 acenn smtpd[8412]: SCANNER[8412]: Nothing to do, exiting.
2011:01:23-09:57:48 acenn exim[6815]: 2011-01-23 09:57:48 SMTP connection from [72.55.148.230]:41661 (TCP/IP connection count = 1)
2011:01:23-09:57:50 acenn exim[8550]: 2011-01-23 09:57:50 server_login authenticator failed for (localhost) [72.55.148.230]:41661: 535 Incorrect authentication data (set_id=larry)

2011:01:23-09:14:10 acenn exim[11381]: 2011-01-23 09:14:10 SMTP connection from (localhost) [72.55.148.230]:57454 lost
2011:01:23-09:25:52 acenn exim[7043]: 2011-01-23 09:25:52 SMTP connection from [72.55.148.230]:48851 (TCP/IP connection count = 1)
2011:01:23-09:25:53 acenn exim[11927]: 2011-01-23 09:25:53 server_login authenticator failed for (localhost) [72.55.148.230]:48851: 535 Incorrect authentication data (set_id=Security)
2011:01:23-09:25:54 acenn exim[11927]: 2011-01-23 09:25:54 SMTP connection from (localhost) [72.55.148.230]:48851 lost
2011:01:23-09:31:47 acenn exim[7043]: 2011-01-23 09:31:47 SMTP connection from [66.96.254.42]:52408 (TCP/IP connection count = 1)
2011:01:23-09:31:48 acenn exim[12175]: 2011-01-23 09:31:48 H=(mailer) [66.96.254.42]:52408 F= rejected RCPT : Relay not permitted
2011:01:23-09:31:48 acenn exim[12175]: 2011-01-23 09:31:48 SMTP connection from (mailer) [66.96.254.42]:52408 closed by DROP in ACL
2011:01:23-09:37:37 acenn exim[7043]: 2011-01-23 09:37:37 SMTP connection from [72.55.148.230]:36011 (TCP/IP connection count = 1)
2011:01:23-09:37:38 acenn exim[12446]: 2011-01-23 09:37:38 server_login authenticator failed for (localhost) [72.55.148.230]:36011: 535 Incorrect authentication data (set_id=torvalds)
2011:01:23-09:37:39 acenn exim[12446]: 2011-01-23 09:37:39 SMTP connection from (localhost) [72.55.148.230]:36011 lost
2011:01:23-09:42:59 acenn exim[7043]: 2011-01-23 09:42:59 SMTP connection from [127.0.0.1]:52224 (TCP/IP connection count = 1)

2011:01:23-09:57:50 acenn exim[8550]: 2011-01-23 09:57:50 SMTP connection from (localhost) [72.55.148.230]:41661 lost

i am using using standerd webadmin login port (4444) 
yes , webadmin access open to Any

my another problem is my pop and smtp log and mails are counted /log under smtp log only 

most login attempt are from 72.55.148.230
asg on vmware esxi 4.0.1  with  windows 2008 r2 and ubuntu 

thanks

Your case is identical to this one: https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/33149

I repeat the urgent need of my feature request: Ban ip address for x minutes if login fails

[:)]

Bye
eclipse79