滥用 - SASL LOGIN身份验证失败:UGFzc3dvcmQ6

时间:2018-05-05 12:02:29

标签: postfix smtpd

我收到了来自ISP的电子邮件,好像你的IP使用这个公共IP作为滥用,我不明白如何调查这个以找到原因的来源所以我需要帮助

postfix/smtpd[21723]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 10:51:59 shorelinedelivery
postfix/smtpd[21723]: disconnect from unknown[X.X.X.X] Apr 26
13:37:31 shorelinedelivery postfix/smtpd[25499]: connect from unknown[103.215.211.106] Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: disconnect from unknown[X.X.X.X] Apr 26
15:08:34 shorelinedelivery postfix/smtpd[27596]: connect from unknown[X.X.X.X] Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: disconnect from unknown[X.X.X.X] Apr 26

X.X.X.X是我们的IP。 我没有看到任何滥用或有什么问题,我没有得到后缀部分,我们没有任何后缀服务器在这里,这个IP是我们的用户互联网IP而不是任何服务器,人们使用outlook 。 我看到我的一台服务器(安装了word press)有人入侵服务器并添加脚本来发送垃圾邮件时出现同样的问题。但我不知道如何阅读此日志并进行调查,或者我应该向ISP询问更多信息。

Report from fail2ban
Reported-From: abuse-report@vaniersel.net
Report-Type: login-attack
User-Agent: vaniersel.net abuse report
Report-ID: 20180426000000198092@vaniersel.net
Date: Thu, 26 Apr 2018 01:55:17 +0200
Source: X.X.X.X
Source-Type: ipv4
Destination: 94.x.x.x
Destination-Type: ipv4
Attachment: text/plain
Schema-URL: http://www.x-arf.org/schema/abuse_login-attack_0.1.2.json
Category: abuse
Service: smtp
Port: 25

1 个答案:

答案 0 :(得分:1)

要说明,SASL身份验证失败的消息来自远程服务器。它说的是,在你的IP地址的某个地方或后面有一个进程,这个进程正在打击服务器试图猜测密码,以便发送垃圾邮件。

您需要做的是尝试找到执行攻击的IP地址背后的系统。如果被黑客入侵的wordpress服务器位于该IP地址或其后面,那可能就是它;你在家里有测试服务器吗?我注意到该日志片段中的日期是4月26日,这是5月5日发布的。

如果您拥有该IP地址的所有人都是用户,那么您的路由器被黑客攻击并被犯罪分子用作代理,或者您的某个用户的计算机已被盗用。要做的一件事是阻止路由器防火墙上的传出端口25。这会强制您的用户为其邮件客户端使用更安全的端口。 (标准SMTP的Exchange或SSL加密端口587或465)

如果您对此不满意,请致电您所在地区寻找熟悉此类安全漏洞的IT顾问。