Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 2065 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User authentication daemon Logfile - viele smtp loggin versuche?

monddia
Hallo

Habe die Auswertung der Logfile User authentication daemon angeschaut und habe fest gestellt, das viele Login versuche über smtp probiert werden. Kann mir vielleicht jemand weiter helfen?

Das Problem ist, das die src-ip 0.0.0.0 ist. 

Aber wenn ich mich beim Webadmin anmelde, dann steht als src-ip meine IPV4 Internet IP von Kabeldeutschland.  

2011:01:11-02:31:46 mail aua[14078]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="test" caller="smtp" reason="DENIED"

2011:01:11-02:31:46 mail aua[14079]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="test" caller="smtp" reason="DENIED"

2011:01:11-04:48:31 mail aua[19812]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="root" caller="smtp" reason="DENIED"

2011:01:11-04:48:31 mail aua[19813]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="root" caller="smtp" reason="DENIED"

2011:01:11-07:04:55 mail aua[25541]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="administrator" caller="smtp" reason="DENIED"

2011:01:11-07:04:55 mail aua[25542]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="administrator" caller="smtp" reason="DENIED"

2011:01:11-09:20:27 mail aua[31417]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="guest" caller="smtp" reason="DENIED"

2011:01:11-09:20:27 mail aua[31418]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="guest" caller="smtp" reason="DENIED"

2011:01:11-11:37:17 mail aua[5432]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="info" caller="smtp" reason="DENIED"

2011:01:11-11:37:17 mail aua[5433]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="info" caller="smtp" reason="DENIED"

2011:01:11-13:54:17 mail aua[12031]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="security" caller="smtp" reason="DENIED"

2011:01:11-13:54:17 mail aua[12032]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="security" caller="smtp" reason="DENIED"


Warum 0.0.0.0 als IP? Wenn die Versuche ja vom Internet her kommen.. und gibts denn eine möglichkeit die Versuche zu blocken, bei 5 Fehlversuche?

Bitte um Hilfe

Danke und schönen Abend wünsch ich euch


This thread was automatically locked due to age.
  • 0
    Hi,

    nein, es gibt leider keine Möglichkeit, diese Fehlversuche abzuschalten, außer Du schaust, ob Du Relay mit Auth ausstellst. Das würde das Problem u.U. lösen.
  • 0 in reply to christianlouis
    Okay wenn ich das ausschalten würde, das wäre das ja dicht. ok!

    Aber kann mir bitte jemand da hier erklären. Und der anzeige Webadmin Sessions sind diese einträge vorhanden:

    Last WebAdmin sessions
      User Date Time IP Address Result Changelog
    1 admin 2011-01-19 19:54:34 188.192 Successful No changes
    2 guest 2011-01-17 09:10:37 0.0.0.0 Failed No changes
    3 guest 2011-01-17 04:44:38 0.0.0.0 Failed No changes
    4 info 2011-01-16 20:55:01 0.0.0.0 Failed No changes
    5 info 2011-01-16 16:33:00 0.0.0.0 Failed No changes
    6 info 2011-01-15 23:00:54 0.0.0.0 Failed No changes

    Ist das die Logansicht der Fehlversuche auf der Admin Anmelde Seite des Webadmins? Oder auch smtp versuche?

    Das komische ist, das ich Webadmin nur vom Lokalen Netz erreichbar ist und nicht vom IPV4 (Internet)

    Wie denkt Ihr darüber? Probiert da jemand Lokal im Rechenzentrum auf meinem Webadmin zuzugreifen?

    lg