服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么人们多次连接到我的MTA,什么也不做,然后离开?
Intereting Posts
MariaDB Galera SST失败 在Linux上,内核和用户空间之间是否有可configuration的套接字超时? 使用手表来运行一个shell脚本 – 但脚本失效 使用通配符重写不安全以保护域 如何findWebSphere Application Server上的EJB的URL 在Apache 2.x上安装SSL – 自签名错误 限制一个端口到一个应用程序 安装主目录Windows Server 2008 R2的根共享的NTFS权限 configurationExchange 2010客户端访问 在EC2上为自定义TCP协议装载平衡和保护服务器 VMWare播放器上的OpenSuse Leap 42.2 guest虚拟机 – > VMware Tools重新启动后无法使用 SVN服务器 – 主机操作系统就地更新 在Linux Guest上安装VMWare Tools时出现问题 IIS 6 + ASP.NET输出caching不工作 为开发人员构buildconfigurationWindows文件系统

为什么人们多次连接到我的MTA,什么也不做,然后离开?

我有一个sendmail服务器。 定期(即每小时几次)我得到这样的日志条目: 

Sep 3 10:06:49 lory sendmail[30561]: v8396nsQ030561: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6 Sep 3 10:06:49 lory sendmail[30564]: v8396nmv030564: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6 [29 very similar lines deleted] Sep 3 10:06:50 lory sendmail[30654]: v8396or0030654: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6 Sep 3 10:06:50 lory sendmail[30657]: v8396ou3030657: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6

这个特定的服务器以这样的速度进行了一点,然后突然出现了,在110s总共有大约600个连接。 其他人则不那么长久。 他们不会导致我的服务器有任何问题; fail2ban得到了一些训练,看着SMTP AUTH失败的邮件日志文件,并且不得不忽略所有这些新条目,但是没有任何东西让服务器出汗。

我很好奇的是, 为什么有人会这么做。 他们是否希望我的中继/灰名单/ SPF引擎有一个非常小的大脑,并在500个连接后说自己天哪,他们真的热衷于跟我说话,我最好接受他们现在发送的任何东西 ? 他们是否希望我的服务器没有备用虚拟机,并且sendmail会膨胀并调用OOM杀手,因此DoSing我? 我认为有人出于某种原因做了这种事情,但是有没有人有最清楚的想法是什么原因?

sendmail “在连接到MTA期间没有发出MAIL / EXPN / VRFY / ETRN”警告不是意外的,由被拒绝的身份validation尝试触发,但不仅在提供了不正确的用户名密码组合时,而且您看到相同的错误即使不支持身份validation (或者至less不允许没有TLS): 

 telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 hbruijn ESMTP Sendmail 8.14.4/8.14.4; Fri, 8 Sep 2017 13:06:31 +0200 AUTH LOGIN 504 5.3.3 AUTH mechanism LOGIN not available QUIT

这会生成您看到的日志事件的types:

Sep 8 13:06:39 hbruijn sendmail [11333]:v88B6VYg011333:本地主机[127.0.0.1]在连接到MTA期间没有发出MAIL / EXPN / VRFY / ETRN

您没有看到任何实际的用户名logging,因为“攻击者”甚至没有达到他们可以提供用户名或密码的阶段。

当我连接到STARTTLS并提供一个(不正确的)用户名和密码组合sendmaillogging完全相同的错误。 

 openssl s_client -starttls smtp -connect localhost:25 250 HELP AUTH LOGIN 334 VXNlcm5hbWU6 bXl1c2VybmFtZUBkb21haW4uY29t 334 UGFzc3dvcmQ6 d2Vha3Bhc3M= 535 5.7.0 authentication failed QUIT DONE

这将生成一个额外的日志行,但事后完全相同的事件。

Sep 8 13:24:22 hbruijn sendmail [11648]:STARTTLS = server,relay = localhost [127.0.0.1],version = TLSv1 / SSLv3,verify = NO,cipher = DHE-RSA-AES256-GCM-SHA384,bits = 256分之256
Sep 8 13:24:32 hbruijn sendmail [11648]:v88BOMvW011648:本地主机[127.0.0.1]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN

永远不要因为愚蠢而充分解释恶意:

我自己的域没有得到太多的邮件,但是就端口扫描和蛮力尝试而言,足够的互联网背景噪声。 我在过去几天捕获了所有的SMTPstream量,除了几个独特的IP地址触发这样的日志事件,我的服务器有两个IP地址,当我的sendmail响应AUTH不被支持(没有TLS)导致了这些IP的大量警告。

至less对于这两个IP地址来说,正如我所预料的那样,他们似乎只是愚蠢而愚蠢的恶意软件程序,显然是通过用户名/密码列表工作的,而没有真正做出任何错误控制,并且在最初的失败之后没有退出(这使我想知道如果他们甚至可以检测到他们是否成功…)

交通捕获

和相关的日志:

Sep 10 04:04:34 hbruijn sendmail [7558]:v8A24YLM007558:[196.196.27.126]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN
Sep 10 04:04:34 hbruijn sendmail [7561]:v8A24Yi1007561:[196.196.27.126]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN
Sep 10 04:04:34 hbruijn sendmail [7564]:v8A24YHM007564:[196.196.27.126]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN
Sep 10 04:04:35 hbruijn sendmail [7567]:v8A24YSY007567:[196.196.27.126]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN
Sep 10 04:04:35 hbruijn sendmail [7570]:v8A24ZC2007570:[196.196.27.126]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN
Sep 10 04:04:35 hbruijn sendmail [7573]:v8A24ZYo007573:[196.196.27.126]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN
Sep 10 04:04:35 hbruijn sendmail [7576]:v8A24ZLt007576:[196.196.27.126]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN
Sep 10 04:04:35 hbruijn sendmail [7579]:v8A24Zva007579:[196.196.27.126]在连接到MTA时未发出MAIL / EXPN / VRFY / ETRN