从昨天(上午7点)开始,我们的POP服务器遭到了一次短暂的攻击:这是我在/var/log/mail.log中发现的:
Mar 26 10:31:36 serv pop3d: LOGIN FAILED, user=monday, ip=[::ffff:91.121.**.***] Mar 26 10:31:41 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***] Mar 26 10:31:41 serv pop3d: Connection, ip=[::ffff:91.121.**.***] Mar 26 10:31:41 serv pop3d: LOGIN FAILED, user=monica, ip=[::ffff:91.121.**.***] Mar 26 10:31:46 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***] Mar 26 10:31:46 serv pop3d: Connection, ip=[::ffff:91.121.**.***] Mar 26 10:31:46 serv pop3d: LOGIN FAILED, user=monroe, ip=[::ffff:91.121.**.***] Mar 26 10:31:51 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***] Mar 26 10:31:51 serv pop3d: Connection, ip=[::ffff:91.121.**.***] Mar 26 10:31:51 serv pop3d: LOGIN FAILED, user=montana, ip=[::ffff:91.121.**.***] Mar 26 10:31:56 serv pop3d: Disconnected, ip=[::ffff:91.121.**.***] IP导致代理服务。 我们警告他们他们的安全接缝被打破了,他们回答说他们知道这一点,他们正在努力。
但是从昨天晚上22点开始,知识产权的变化和新的东西就没有任何意义。 知识产权似乎被列入黑名单(TornevallNET,Spamhaus和CBL_AbuseAt)。
在这之前每5秒钟尝试一次,现在是每一秒钟:
Mar 27 00:00:57 serv pop3d: Connection, ip=[::ffff:176.61.***.***] Mar 27 00:00:58 serv pop3d: LOGIN FAILED, user=info, ip=[::ffff:176.61.***.***] Mar 27 00:00:59 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.*** Mar 27 00:00:59 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.*** Mar 27 00:01:00 serv pop3d: LOGOUT, ip=[::ffff:176.61.***.***] Mar 27 00:01:00 serv pop3d: Disconnected, ip=[::ffff:176.61.***.***] Mar 27 00:01:01 serv pop3d: LOGOUT, ip=[::ffff:176.61.***.***] Mar 27 00:01:01 serv pop3d: Disconnected, ip=[::ffff:176.61.***.***] Mar 27 00:01:01 serv pop3d: Connection, ip=[::ffff:176.61.***.***] Mar 27 00:01:01 serv pop3d: Maximum connection limit reached for ::ffff:176.61.***.***
然后他们在imap上开始同样的事情:
Mar 27 00:07:08 serv imapd: Connection, ip=[::ffff:176.61.***.***] Mar 27 00:07:09 serv imapd: LOGIN FAILED, user=web, ip=[::ffff:176.61.***.***] Mar 27 00:07:09 serv imapd: Disconnected, ip=[::ffff:176.61.***.***], time=6 Mar 27 00:07:09 serv imapd: Connection, ip=[::ffff:176.61.***.***]
25分钟后似乎停止了,知识产权又变了,现在,它的:
Mar 27 10:20:01 serv postfix/smtpd[10390]: connect from localhost[127.0.0.1] Mar 27 10:20:01 serv postfix/smtpd[10390]: lost connection after CONNECT from localhost[127.0.0.1] Mar 27 10:20:01 serv postfix/smtpd[10390]: disconnect from localhost[127.0.0.1] Mar 27 10:22:33 serv imapd: Connection, ip=[::ffff:88.190.***.**] Mar 27 10:22:33 serv imapd: Disconnected, ip=[::ffff:88.190.***.**], time=0
为什么在我们的服务器上仍然连接着陌生人的IP?
在我们的网页制作服务器上,我们不使用POP或IMAP,而是使用带有后缀的SMTP。 中继是我们的DNS提供商。
发生了什么 ?
感谢提前和抱歉我的英语。
对不起,我需要添加一个答案,因为我仍然不能添加评论。 但无论你做什么,你总是会有另一个IP地址发送垃圾邮件给你,并强迫你。 最好的办法是阻止他们,并希望你没有用户pipe理1234作为密码。 我已经通过我的Imap服务器。 我感到你的痛苦。 但正如迈克尔所说,欢迎来到互联网。 干杯
系统受到危害的风险取决于您所使用的安全策略,以及这些策略对您的攻击者的有效性。
如果您拥有强大的密码策略,帐户locking(在一定程度的login尝试失败后),源跟踪(即locking发送大量不成功的身份validation请求到您的服务器的IP地址)和审核到位,您将不会很担心。
另一方面,如果您没有采取这些措施,现在可能已经太迟了,要closures它,您应该评估这可能会导致您的业务的风险和损害。 如果风险太高,请将系统置于脱机状态,将其保护并重新插入。保护未受损系统总是比恢复受损系统容易。
你有没有考虑使用安全版本的IMAP / POP3? 虽然它不会停止这样的尝试,因为它们在110和143以外的不同端口上,可能会“帮助”。
除非您拥有庞大的用户群,否则只需将端口110和143移动到某些非标准端口号就可以了。 诚实地说,这是一个糟糕的解决scheme,因为它没有解决任何安全问题。 但是,除非你有一个可以绕过重新configuration所有最终用户邮件客户端的大组员工,否则它可能适用于小组。
或者,如果您知道用户连接的位置,请将POP3和IMAP的连接限制为这些子网。