Hat jemand Erfahrung mit der Auswertung von Logfiles - speziell das Auswerten von erfolgreichem SASL Logins ?
Aktueller Anwendungsfall:
Bei einem meiner FreeBSD Server ist eine Abuse Notification eingegangen. Ein Mailaccount wurde von unbekannter Person
zum Senden von Spam-Nachrichten, in dem Fall eher Erpressung verwendet. Den Zugriff konnte ich nach Brasilien (LACNIC) verfolgen.
Der Inhaber des Mailkontos ist aber nie in Brasilien, auch jetzt nicht.
Bei Durchsicht der /var/log/maillog sind mir mit den gleichen AUTH PLAIN Angaben ungewöhnlich viele erfolgreiche Logins von sehr
vielen verschiedenen IP-Adressen über den ganzen Globus verteilt aufgefallen.
Bislang läuft auf dem Server nur sshguard, der ist darauf eingestellt, Login-Fehler mit einer IP-Sperre für mindestens 24 Stunden zu ahnden,
im Wiederholungsfall mit sofortigem Eintrag in die Blacklist.
An die Möglichkeit erfolgreicher SASL Authentifizierungen durch "Unbekannte Personen" habe ich bislang nicht gedacht.
Ich möchte daher für die Zukunft ein Tool implementieren, das bei erfolgreichen Logins, egal welcher Dienst (SSH, FTP, Postfix-SASL, usw.)
nach "Auffälligkeiten" suchen kann.
Gibt es hierzu schon Lösungen ? Das dürfte ja so ziemlich jeden Serverbetreiber betreffen ...
Aktueller Anwendungsfall:
Bei einem meiner FreeBSD Server ist eine Abuse Notification eingegangen. Ein Mailaccount wurde von unbekannter Person
zum Senden von Spam-Nachrichten, in dem Fall eher Erpressung verwendet. Den Zugriff konnte ich nach Brasilien (LACNIC) verfolgen.
Der Inhaber des Mailkontos ist aber nie in Brasilien, auch jetzt nicht.
Bei Durchsicht der /var/log/maillog sind mir mit den gleichen AUTH PLAIN Angaben ungewöhnlich viele erfolgreiche Logins von sehr
vielen verschiedenen IP-Adressen über den ganzen Globus verteilt aufgefallen.
Bislang läuft auf dem Server nur sshguard, der ist darauf eingestellt, Login-Fehler mit einer IP-Sperre für mindestens 24 Stunden zu ahnden,
im Wiederholungsfall mit sofortigem Eintrag in die Blacklist.
An die Möglichkeit erfolgreicher SASL Authentifizierungen durch "Unbekannte Personen" habe ich bislang nicht gedacht.
Ich möchte daher für die Zukunft ein Tool implementieren, das bei erfolgreichen Logins, egal welcher Dienst (SSH, FTP, Postfix-SASL, usw.)
nach "Auffälligkeiten" suchen kann.
Gibt es hierzu schon Lösungen ? Das dürfte ja so ziemlich jeden Serverbetreiber betreffen ...
