Наверх

Итак, в один прекрасный день вы обнаружили в secure следующие тревожные записи:

Apr 20 16:51:29 ns1 ipop3d[9074]: warning: can't get client address: Connection reset by peer

Apr 20 16:51:38 ns1 ipop3d[9074]: connect from unknown

Причем, в /var/log/maillog тоже кое-что есть:

Apr 20 16:51:29 ns1 sendmail[9070]: i3KApTXt009070: host.domain.ru [k.n.m.l.] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA

Apr 20 16:51:38 ns1 ipop3d[9074]: pop3 service init from UNKNOWN

(Кстати сказать,при этом в /var/log/servicelog записывается нормальный ip-адрес источника.)

Эти записи есть результат сканирования 110 порта и 25 портов.

Для примера, запустите

nmap -v -sT -O  pop3host.yourdomain.ru

и затем проверьте логи. Причем никаких следов ни в netstat, ни в socklist, ни в tcpdump

Теперь о флаге -sT.

Man nmap гласит:
  -sT TCP connect() port scan (default)
TCP connect() scan: This is the most basic form of TCP scanning. The connect() system call provided by your
operating system is used to open a connection to every interesting port on the machine. If the port is listening,
connect() will succeed, otherwise the port isn't reachable. One strong advantage to this technique is that
you don't need any special privileges. Any user on most UNIX boxes is free to use this call.
This sort of scan is easily detectable as target host logs will show a bunch of connection and error messages for the
services which accept() the connection just to have it immediately shutdown.

Причем, не каждый раз при сканировании с флагом -T можно получить искомую запись.
Иногда при подобном сканировании ip все же определяется нормально и записывается в /var/log/secure, но при этом в /var/log/maillog можно наблюдать следущие записи:
May 7 20:15:24 ns1 ipop3d[11281]: pop3 service init from UNKNOWN
May 7 20:15:24 ns1 ipop3d[11281]: Command stream end of file while reading line user=??? host=UNKNOWN