在我的Logwatch日志中,我发现3条看起来很奇怪的线,我推测他们是黑客入侵。
IMAP连接从@ [:: ffff:121.183.126.37] DEBUG:连接,ip = [:: ffff:5.102.221.2]:6时间(s)
地址121.183.126.37是韩国IP,不是我们的,可能是攻击者。 另一个地址是5.102.221.2,就是我们的IP。 我有三个相同的韩国IP相似的线路,但与我们的客户不同的IP。
IMAP连接从@ [:: ffff:2.187.25.14] checkmailpasswd:FAILED:admin – 短名不允许从@ [:: ffff:2.187.25.14] DEBUG:连接,IP = [:: ffff:5.102.221.2]: 1次(s)
这次来自伊朗注册商的2.187.25.14来源IP和我们的客户IP 5.102.221.2。
IMAP连接从@ [:: ffff:2.187.25.14] checkmailpasswd:FAILED:admin – 短名不允许从@ [::ffff:2.187.25.14]IMAP连接从@ [:: ffff:5.102.221.2]信息:login,[email protected],ip = [:: ffff:5.102.221.2]:1时间(s)
任何人都可以帮我理解这个吗? 据我所知,有人试图强制我们,但是我们的IP地址是如何涉及到这个的?
第一个几行是远程连接试图暴力攻击(所有的明显远程IP地址)
你的邮件服务器上有一个webmail界面吗? 如果你这样做,从webmail的连接将显示从本地IP地址。 最后一个来自你的IP地址,并使用user @ domain格式的信息可能是某个人login到webmail并且密码错误。
(编辑回应你的评论)
您的日志文件显示连接的IP地址和正在连接的IP地址。 这就是为什么有一个“攻击IP”和“你的IP”。 就我所知,这是Postfix的正常日志语法。