postfix - 滥用 - SASL 登录身份验证失败:UGFzc3dvcmQ6
问题描述
我收到了一封来自 ISP 的电子邮件,似乎您的 IP 正在将此公共 IP 用作滥用,我不明白如何对此进行调查以找到原因,所以我需要一些帮助
postfix/smtpd[21723]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 10:51:59 shorelinedelivery
postfix/smtpd[21723]: disconnect from unknown[X.X.X.X] Apr 26
13:37:31 shorelinedelivery postfix/smtpd[25499]: connect from unknown[103.215.211.106] Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: disconnect from unknown[X.X.X.X] Apr 26
15:08:34 shorelinedelivery postfix/smtpd[27596]: connect from unknown[X.X.X.X] Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: disconnect from unknown[X.X.X.X] Apr 26
XXXX 是我们的 IP。我在这里没有看到任何滥用或错误,我没有得到后缀部分,我们这里没有任何后缀服务器,这个 ip 是我们的用户互联网 IP 不是任何服务器,人们使用 Outlook。我在我的一台服务器(安装了 word press)上看到了同样的问题,有人入侵了服务器并添加了脚本来发送垃圾邮件。但我不知道如何阅读此日志并进行调查,或者我应该向 ISP 询问更多信息。
Report from fail2ban
Reported-From: abuse-report@vaniersel.net
Report-Type: login-attack
User-Agent: vaniersel.net abuse report
Report-ID: 20180426000000198092@vaniersel.net
Date: Thu, 26 Apr 2018 01:55:17 +0200
Source: X.X.X.X
Source-Type: ipv4
Destination: 94.x.x.x
Destination-Type: ipv4
Attachment: text/plain
Schema-URL: http://www.x-arf.org/schema/abuse_login-attack_0.1.2.json
Category: abuse
Service: smtp
Port: 25
解决方案
解释一下,SASL 身份验证失败消息来自远程服务器。意思是在您的 IP 地址上或后面某处有一个进程正在攻击该服务器,试图猜测密码,以发送垃圾邮件。
您需要做的是尝试找到执行攻击的 IP 地址背后的系统。如果被黑的 wordpress 服务器位于或位于该 IP 地址后面,那可能就是它;你家里有测试服务器吗?我注意到该日志片段中的日期是 4 月 26 日,这是在 5 月 5 日发布的。
如果您在该 IP 地址后面拥有的只是用户,那么您的路由器被黑客入侵并被犯罪分子用作代理,或者您的用户的一台计算机已被入侵。要做的一件事是在路由器防火墙上阻止传出端口 25。这会迫使您的用户为其邮件客户端使用更安全的端口。(标准 SMTP 的 Exchange 或 SSL 加密端口 587 或 465)
如果您对此不满意,请致电您所在地区的熟悉此类安全漏洞的 IT 顾问。
推荐阅读
- python - Flask-mail 正在尝试使用 localhost 作为邮件服务器,而不是配置的 SMTP 服务器
- python - 如何从 sklearn 为多列反转标签编码器?
- java - 如何从 Sql 中插入和获取数据
- android - 用文字描边
- android - Mapbox IllegalStateException:在加载/已加载较新样式时调用 getSourceAs
- youtube-api - 使用 oembed 检索数据时,Youtube 发送错误的缩略图
- node.js - API 请求/响应形状的单一事实来源,包括 JSON 模式、TypeScript 类型和运行时验证器?
- cloud - Azure 扩展.json
- javascript - 播放视频后自动关闭模式。超时功能不起作用
- php - 使用 PHP API 创建 Office 365 用户