我收到了一封来自ISP的电子邮件,似乎您的IP正在将此公共IP用作滥用,我不明白如何调查以找到原因的来源,所以我需要一点帮助
postfix/smtpd[21723]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 10:51:59 shorelinedelivery
postfix/smtpd[21723]: disconnect from unknown[X.X.X.X] Apr 26
13:37:31 shorelinedelivery postfix/smtpd[25499]: connect from unknown[103.215.211.106] Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: disconnect from unknown[X.X.X.X] Apr 26
15:08:34 shorelinedelivery postfix/smtpd[27596]: connect from unknown[X.X.X.X] Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: disconnect from unknown[X.X.X.X] Apr 26
X.X.X.X 是我们的知识产权。 我在这里没有看到任何辱骂或错误,我没有得到后缀部分,我们这里没有任何后缀服务器,这个 ip 是我们的用户互联网 IP 而不是任何服务器,人们使用 outlook。 我看到我的一个服务器(安装了wordpress(出现同样的问题,有人入侵了服务器并添加了发送垃圾邮件的脚本。但我不知道如何阅读此日志并进行调查,或者我应该向 ISP 询问更多信息。
Report from fail2ban
Reported-From: abuse-report@vaniersel.net
Report-Type: login-attack
User-Agent: vaniersel.net abuse report
Report-ID: 20180426000000198092@vaniersel.net
Date: Thu, 26 Apr 2018 01:55:17 +0200
Source: X.X.X.X
Source-Type: ipv4
Destination: 94.x.x.x
Destination-Type: ipv4
Attachment: text/plain
Schema-URL: http://www.x-arf.org/schema/abuse_login-attack_0.1.2.json
Category: abuse
Service: smtp
Port: 25
解释一下,SASL 身份验证失败的消息来自远程服务器。 这是说在您的IP地址上或后面的某个地方有一个进程正在冲击服务器试图猜测密码,以便发送垃圾邮件。
您需要做的是尝试找到执行攻击的IP地址背后的系统。 如果被黑客入侵的 wordpress 服务器位于该 IP 地址或后面,则可能是它;您内部有测试服务器吗? 我注意到该日志片段中的日期是 4 月 26 日,这是在 5 月 5 日发布的。
如果您在该IP地址后面只有用户,那么您的路由器被黑客入侵并被犯罪分子用作代理,或者您的一台用户的计算机已被入侵。 要做的一件事是在路由器防火墙上阻止传出端口 25。 这会迫使用户为其邮件客户端使用更安全的端口。 (交换,或 SSL 加密端口 587 或 465 用于标准 SMTP(
如果您不习惯这样做,请致电您所在地区的IT顾问,寻求熟悉此类安全漏洞的IT顾问。