我的一个朋友昨天(2014年6月23日)收到了他所有的域名电子邮件都发送失败的通知,于是他让我调查一下。
我一直在寻找各种日志,他的帐户日志不显示任何不寻常的login,但他的Apache日志显示一些有趣的条目。
我做了一些研究,并基于其他服务器默认的职位,他们是SSL的初步握手。 通常我会把这种东西当作一般的机器人活动来耸耸肩,但是鉴于接近垃圾邮件的尝试,我想确保:
...76.133.2 - - [20/Jun/2014:22:04:22 -0400] "\x80w\x01\x03\x01" 501 653 "-" "-" ...76.133.2 - - [20/Jun/2014:22:04:25 -0400] "GET /HNAP1/ HTTP/1.1" 404 887 "[removed]" "Opera/9.60 (Windows NT 5.1; U; de) Presto/2.1.1" 我标记为[已移除]的引用者指向他所访问网站的IP。
他有6到10个域名,他们似乎都在几分钟内得到相同的请求,从19日开始到昨天(24日)为止,有几个不同的时间。
尽pipe现在已经停止了,而且我告诉他彻底扫描他的电脑,但我不知道这是否是由于这些日志可能会显示的一些漏洞,或者这是巧合。 主持人给我们的信息太less,关于我唯一可以告诉的是,他们没有login控制面板,这不是cPanel,而是一些显然是专有的东西。 他的主机是IXWebhosting,如果有帮助。
我的主要问题是,这可能是因为他的任何域名都没有SPFlogging? 或者这可能是其他的东西,甚至有关这些Apache日志? 他的主人通过ToS违规通知单通知他,所以我不确定SPF是否会触发他们这样做。
来自邮件程序守护程序的其中一个垃圾邮件头的示例:
Return-Path: <[hidden]@wow-tek.com> Received: (qmail 11259 invoked by uid 399); 25 Jun 2014 20:34:36 -0000 Received: from unknown (HELO wow-tek.com) ([hidden]@[email protected]) by mail1201.opentransfer.com with ESMTPAM; 25 Jun 2014 20:34:36 -0000 X-Originating-IP: ...29.95.247 Message-ID: <[hidden]@wow-tek.com> Date: Thu, 26 Jun 2014 00:34:35 +0400 Reply-To: "[hidden]" <[hidden]@wow-tek.com> From: "[hidden]" <[hidden]@wow-tek.com> MIME-Version: 1.0 To: <[hidden]@gmail.com> Subject: I @_m fond of rel@_xing with hot p@_ls like you. Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 7bit (Body supressed)
IP地址不是他的。
我也希望我已经提供了足够的信息。 对于电子邮件伪造或者其他任何事情,我真的不知道很多。 如果需要/要求,我会很乐意更新,只是让我知道什么。