OSSEC VPOPMAIL Bruteforce

[Sniffer]

I got this from OSSEC

OSSEC HIDS Notification.
2015 Nov 30 12:07:30

Received From: server2->/var/log/maillog
Rule: 9953 fired (level 10) -> "VPOPMAIL brute force (empty password)."
Portion of the log(s):

Nov 30 12:07:30 server2 vpopmail[15115]: vchkpw-smtp: null password given tester:118.102.202.131
Nov 30 12:07:20 server2 vpopmail[15100]: vchkpw-smtp: null password given testing:118.102.202.131
Nov 30 12:07:11 server2 vpopmail[15087]: vchkpw-smtp: null password given postmaster:118.102.202.131
Nov 30 12:07:01 server2 vpopmail[15015]: vchkpw-smtp: null password given administrator:118.102.202.131
Nov 30 12:06:51 server2 vpopmail[15003]: vchkpw-smtp: null password given info:118.102.202.131
Nov 30 12:06:42 server2 vpopmail[14988]: vchkpw-smtp: null password given mysql:118.102.202.131
Nov 30 12:06:33 server2 vpopmail[14980]: vchkpw-smtp: null password given postgres:118.102.202.131
Nov 30 12:06:22 server2 vpopmail[14971]: vchkpw-smtp: null password given oracle:118.102.202.131
Nov 30 12:06:13 server2 vpopmail[14948]: vchkpw-smtp: null password given postfix:118.102.202.131
Nov 30 12:06:03 server2 vpopmail[14935]: vchkpw-smtp: null password given root:118.102.202.131



--END OF NOTIFICATION

[MRatWork]

Read http://www.taverner-rich.com/mitigating-brute-force-attacks

[Sniffer]

Thanks, already had fail2ban installed so just added that info

[Sniffer]

Also getting this if you could advise? Thanks

Received From: server2->netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort
Rule: 533 fired (level 7) -> "Listened ports status (netstat) changed (new port opened or closed)."
Portion of the log(s):

ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
tcp        0      0 0.0.0.0:2432                0.0.0.0:*                   LISTEN     
tcp        0      0 0.0.0.0:7777                0.0.0.0:*                   LISTEN     
tcp        0      0 0.0.0.0:7778                0.0.0.0:*                   LISTEN     
tcp        0      0 0.0.0.0:7779                0.0.0.0:*                   LISTEN     
tcp        0      0 0.0.0.0:783                 0.0.0.0:*                   LISTEN     
tcp        0      0 2a02:2658:1011:1:4:0:192:53 :::*                        LISTEN     
tcp        0      0 2a02:2658:1011:1:4:0:274:53 :::*                        LISTEN     
tcp        0      0 2a02:2658:1011:1:4:0:809:53 :::*                        LISTEN     
tcp        0      0 2a02:2658:1011:1:4:0:d95:53 :::*                        LISTEN     
tcp        0      0 2a02:2658:1011:1:4:0:f3c:53 :::*                        LISTEN     
tcp        0      0 82.111.343.121:53           0.0.0.0:*                   LISTEN     
tcp        0      0 :::110                      :::*                        LISTEN     
tcp        0      0 :::143                      :::*                        LISTEN     
tcp        0      0 :::21   
Previous output:
ossec: output: 'netstat -tan |grep LISTEN |grep -v 127.0.0.1 | sort':
tcp        0      0 0.0.0.0:3012                0.0.0.0:*                   LISTEN     
tcp        0      0 0.0.0.0:7777                0.0.0.0:*                   LISTEN     
tcp        0      0 0.0.0.0:7778                0.0.0.0:*                   LISTEN     



--END OF NOTIFICATION