时间戳

首页 > 解决方案 > 滥用 - SASL 登录身份验证失败:UGFzc3dvcmQ6

postfix - 滥用 - SASL 登录身份验证失败:UGFzc3dvcmQ6

问题描述

我收到了一封来自 ISP 的电子邮件,似乎您的 IP 正在将此公共 IP 用作滥用,我不明白如何对此进行调查以找到原因,所以我需要一些帮助

postfix/smtpd[21723]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 10:51:59 shorelinedelivery
postfix/smtpd[21723]: disconnect from unknown[X.X.X.X] Apr 26
13:37:31 shorelinedelivery postfix/smtpd[25499]: connect from unknown[103.215.211.106] Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: disconnect from unknown[X.X.X.X] Apr 26
15:08:34 shorelinedelivery postfix/smtpd[27596]: connect from unknown[X.X.X.X] Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: disconnect from unknown[X.X.X.X] Apr 26

XXXX 是我们的 IP。我在这里没有看到任何滥用或错误,我没有得到后缀部分,我们这里没有任何后缀服务器,这个 ip 是我们的用户互联网 IP 不是任何服务器,人们使用 Outlook。我在我的一台服务器(安装了 word press)上看到了同样的问题,有人入侵了服务器并添加了脚本来发送垃圾邮件。但我不知道如何阅读此日志并进行调查,或者我应该向 ISP 询问更多信息。

Report from fail2ban
Reported-From: abuse-report@vaniersel.net
Report-Type: login-attack
User-Agent: vaniersel.net abuse report
Report-ID: 20180426000000198092@vaniersel.net
Date: Thu, 26 Apr 2018 01:55:17 +0200
Source: X.X.X.X
Source-Type: ipv4
Destination: 94.x.x.x
Destination-Type: ipv4
Attachment: text/plain
Schema-URL: http://www.x-arf.org/schema/abuse_login-attack_0.1.2.json
Category: abuse
Service: smtp
Port: 25

标签: postfixsmtpd

解决方案

解释一下,SASL 身份验证失败消息来自远程服务器。意思是在您的 IP 地址上或后面某处有一个进程正在攻击该服务器,试图猜测密码,以发送垃圾邮件。

您需要做的是尝试找到执行攻击的 IP 地址背后的系统。如果被黑的 wordpress 服务器位于或位于该 IP 地址后面,那可能就是它;你家里有测试服务器吗?我注意到该日志片段中的日期是 4 月 26 日,这是在 5 月 5 日发布的。

如果您在该 IP 地址后面拥有的只是用户,那么您的路由器被黑客入侵并被犯罪分子用作代理,或者您的用户的一台计算机已被入侵。要做的一件事是在路由器防火墙上阻止传出端口 25。这会迫使您的用户为其邮件客户端使用更安全的端口。(标准 SMTP 的 Exchange 或 SSL 加密端口 587 或 465)

如果您对此不满意,请致电您所在地区的熟悉此类安全漏洞的 IT 顾问。

推荐阅读