<br><br><div class="gmail_quote">On 14 July 2011 22:22, Jon Reynolds <span dir="ltr"><<a href="mailto:maillist@jcrdevelopments.com">maillist@jcrdevelopments.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
 Hi folks,<br>
<br>
 Am a bit naive when it comes to these things, but looking through just<br>
 the last few days of auth.log I see lots of this:<br>
 Jul 10 16:17:30 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=root<br>
 Jul 10 16:20:04 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=root<br>
 Jul 10 16:20:12 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=root<br>
 Jul 10 16:20:51 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=www-data<br>
 Jul 10 16:21:15 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=nobody<br>
 Jul 10 16:21:22 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=root<br>
 Jul 10 16:21:29 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=backup<br>
 Jul 10 16:22:35 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=news<br>
 Jul 10 16:22:48 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=games<br>
 Jul 10 16:23:01 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=mail<br>
 Jul 10 16:24:32 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=sshd<br>
 Jul 10 16:24:55 jcrdevelopments authdaemond: pam_unix(pop3:auth):<br>
 authentication failure; logname= uid=0 euid=0 tty= ruser= rh<br>
 ost=  user=bin<br></blockquote><div><br></div><div>These are attacks logged by the Courier POP3 daemon using standard PAM auth against the passwd/shadow password files. The attacker appears to be attempting to gain access as a variety of system type accounts. </div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
 I am of course wondering if this is some sort of brute force attack,<br>
 where someone is trying to log in with any possible user name....<br></blockquote><div><br></div><div>Most like an automated probe, possibly against a know weakness in Courier or a typical misconfiguration. Note that authdaemond is running as root (uid=0 euid=0) so a weakness in it could lead to a complete system compromise.  If POP3 is required, consider moving to a different authentication source that doesn't require root level privileges. </div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
 Is there anything I can do? Should I be worried? I use ssh keys to<br>
 login, but I have left password auth on in case I loose the keys :)<br>
<br>
 ...maybe this is just normal?<br></blockquote><div><br></div><div>Normal I'd say. Make sure you keep the software up to date and use a separate username/password source. Consider moving to POP3 over SSL to reduce to risk of password sniffing, and consider fail2ban or similar as Carwyn suggested. </div>
<div>If the service is not required either disable it or firewall the port off on Internet facing interface.</div><div><br></div><div>Hope this helps.</div><div><br>Regards,</div><div><br></div><div>Matt</div><div><br></div>
<div><br></div></div>