use*_*058 4 firewall smtp hacking intrusion-detection
使用 netstat -na 我注意到我有很多像
tcp 0 0 XXX.XXX.XXX.XXX:25 YYY.YYY.YYY.YYY:13933 ESTABLISHED
tcp 0 0 XXX.XXX.XXX.XXX:25 ZZZ.ZZZ.ZZZ.ZZZ:9528 ESTABLISHED
尽管我的服务器位于英国,但这些地址是美国、巴西等。
这可能是一些“非法”活动,比如垃圾邮件之类的吗?
[root@myserver ~]# tcpdump port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>
20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win 16660
20:54:34.036073 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 1:90(89) ack 1 win 46
20:54:34.304356 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 90 win 16637
20:54:34.304433 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 90:110(20) ack 1 win 46
20:54:34.568451 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 110 win 16632
Mat*_*att 11
或者至少,它正在被尝试。如果您打开了端口 25,则可以保证有人试图通过您中继邮件。如果您打开了 80 端口,则可以保证有人试图利用您的站点。如果您打开了端口 22,则可以保证有人试图对您进行暴力破解。注意到一个模式吗?
幸运的是,他们几乎完全是业余的。使用诸如日志文件、telnet 和 tcpdump 之类的工具来验证这些只是尝试,并且您没有成功地被用来中继垃圾邮件。
| 归档时间: |
|
| 查看次数: |
675 次 |
| 最近记录: |