Подозрительное действие через postfix/smtpd в mail.info - возможно, вирус или взламывающий попытку?

Question 1

Я нашел следующие записи в mail.info, но никто не зарегистрирован. Clamscan ничего не находят. Как я могу найти то, что это и как я могу остановить это?

26 октября 11:30:03 smtp postfix/smtpd [21749]: подключение от localhost [127.0.0.1]

26 октября 11:30:03 smtp postfix/smtpd [21749]: предупреждение: valid_hostname: числовое имя хоста: 95.140.39.1010 26 октября 11:30:03 smtp postfix/smtpd [21749]: предупреждение: уродливое доменное имя в данных ресурсов MX записывает для phpwzym.com: 95.140.39.1010

26 октября 11:30:03 smtp postfix/smtpd [21749]: NOQUEUE: отклонение: ПРИЕМ от localhost [127.0.0.1]: 450 4.1.8: адрес Отправителя отклонил: Уродливый ответ сервера DNS; от = до = proto=ESMTP привет =

26 октября 11:30:03 smtp postfix/smtpd [21749]: разъединение от localhost [127.0.0.1]

Спасибо Michl

Question 2

Взломщик приезжает от

xxx@yyy ~ $ host phpwzym.com
phpwzym.com has address 95.140.38.3
phpwzym.com mail is handled by 10 95.140.39.1010.

xxx@yyy ~ $ whois 95.140.38.3
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '95.140.38.0 - 95.140.38.255'

% Abuse contact for '95.140.38.0 - 95.140.38.255' is 'abuse@szervernet.hu'

inetnum:        95.140.38.0 - 95.140.38.255
netname:        TERATRADE-NET
descr:          VPS SERVERS
country:        HU
admin-c:        TK6395-RIPE
tech-c:         TK6395-RIPE
status:         ASSIGNED PA
mnt-by:         KGY-MNT
mnt-by:         TK6395-MNT
mnt-routes:     TK6395-MNT
created:        2015-03-10T11:12:04Z
last-modified:  2015-05-21T19:34:36Z
source:         RIPE # Filtered

role:           Teratrade Kft
address:        Hungary
address:        1123 Budapest
address:        Nagyt�t�nyi �t 190.
phone:          +36303654560
abuse-mailbox:  abuse@edm-campaigns.com
nic-hdl:        TK6395-RIPE
mnt-by:         TK6395-MNT
created:        2015-03-12T16:01:42Z
last-modified:  2015-03-17T14:48:56Z
source:         RIPE # Filtered

Teratrade, также позволяют создание поддельных записей DNS

phpwzym.com mail is handled by 10 95.140.39.1010.

С Вашим брандмауэром, можно блокировать доступ от этого host, или от этого network

UFW

sudo ufw enable

# for host
sudo ufw deny from 95.140.39.xxx

# for network
sudo ufw deny from 95.140.39.xxx/24

# allow all other to connect on port 25 aka smtp port
sudo ufw allow 25

# allow other port's 
sudo ufw allow 110 # pop3 port
sudo ufw allow xxx # for xxx port

Вы не видите теперь соединения, потому что почта находится в очереди и ожидает доставки.

Команда пустой очереди в постфиксе

sudo postsuper -d ALL

2707974 · Answer 1 · 2 December 2019 в 05:01

Взломщик приезжает от

xxx@yyy ~ $ host phpwzym.com
phpwzym.com has address 95.140.38.3
phpwzym.com mail is handled by 10 95.140.39.1010.

xxx@yyy ~ $ whois 95.140.38.3
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '95.140.38.0 - 95.140.38.255'

% Abuse contact for '95.140.38.0 - 95.140.38.255' is 'abuse@szervernet.hu'

inetnum:        95.140.38.0 - 95.140.38.255
netname:        TERATRADE-NET
descr:          VPS SERVERS
country:        HU
admin-c:        TK6395-RIPE
tech-c:         TK6395-RIPE
status:         ASSIGNED PA
mnt-by:         KGY-MNT
mnt-by:         TK6395-MNT
mnt-routes:     TK6395-MNT
created:        2015-03-10T11:12:04Z
last-modified:  2015-05-21T19:34:36Z
source:         RIPE # Filtered

role:           Teratrade Kft
address:        Hungary
address:        1123 Budapest
address:        Nagyt�t�nyi �t 190.
phone:          +36303654560
abuse-mailbox:  abuse@edm-campaigns.com
nic-hdl:        TK6395-RIPE
mnt-by:         TK6395-MNT
created:        2015-03-12T16:01:42Z
last-modified:  2015-03-17T14:48:56Z
source:         RIPE # Filtered

Teratrade, также позволяют создание поддельных записей DNS

phpwzym.com mail is handled by 10 95.140.39.1010.

С Вашим брандмауэром, можно блокировать доступ от этого host, или от этого network

UFW

sudo ufw enable

# for host
sudo ufw deny from 95.140.39.xxx

# for network
sudo ufw deny from 95.140.39.xxx/24

# allow all other to connect on port 25 aka smtp port
sudo ufw allow 25

# allow other port's 
sudo ufw allow 110 # pop3 port
sudo ufw allow xxx # for xxx port

Вы не видите теперь соединения, потому что почта находится в очереди и ожидает доставки.

Команда пустой очереди в постфиксе

sudo postsuper -d ALL

Подозрительное действие через postfix/smtpd в mail.info - возможно, вирус или взламывающий попытку?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: