为什么人们反复连接到我的 MTA,什么都不做,然后离开?
我有一个sendmail服务器。定期(即每小时几次)我会收到这样的日志条目:
Sep 3 10:06:49 lory sendmail[30561]: v8396nsQ030561: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
Sep 3 10:06:49 lory sendmail[30564]: v8396nmv030564: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
[29 very similar lines deleted]
Sep 3 10:06:50 lory sendmail[30654]: v8396or0030654: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
Sep 3 10:06:50 lory sendmail[30657]: v8396ou3030657: [37.49.226.159] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA-v6
这个特定的服务器以这种速度运行了一段时间,然后突然爆发,在 110 秒内总共增加了大约 600 个连接;其他人不那么冗长。它们不会给我的服务器带来任何问题;fail2ban得到一些锻炼,观察邮件日志文件中的 SMTP AUTH 失败,并且不得不忽略所有这些新条目,但这不会让服务器出汗。
我很好奇,我想问的是,为什么有人会做这样的事情。他们是不是希望我的中继/灰名单/SPF 引擎的大脑很小,在 500 次连接后它会自言自语,天哪,他们真的很想和我交谈,我最好现在接受他们发送的任何内容?他们是否希望我的服务器没有备用虚拟机,而 sendmail 会膨胀并调用 OOM 杀手,从而对我进行 DoSsing?我认为有人做这种事情是有原因的,但有没有人最清楚这个原因可能是什么?
HBr*_*ijn 11
sendmail “在连接到 MTA 期间未发出 MAIL/EXPN/VRFY/ETRN”警告并非意外,由被拒绝的身份验证尝试触发,但不仅在提供不正确的用户名密码组合时触发,而且您看到相同的错误即使不支持身份验证(或至少在没有 TLS 的情况下不允许):
telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 hbruijn ESMTP Sendmail 8.14.4/8.14.4; Fri, 8 Sep 2017 13:06:31 +0200
AUTH LOGIN
504 5.3.3 AUTH mechanism LOGIN not available
QUIT
这会生成您看到的日志事件类型:
9 月 8 日 13:06:39 hbruijn sendmail[11333]: v88B6VYg011333: localhost [127.0.0.1] 在连接到 MTA 期间没有发出 MAIL/EXPN/VRFY/ETRN
您看不到任何实际的用户名记录,因为“攻击者”甚至没有达到可以提供用户名或密码的阶段。
当我使用 STARTTLS 连接并提供(不正确的)用户名和密码组合时,sendmail 会记录完全相同的错误。
openssl s_client -starttls smtp -connect localhost:25
250 HELP
AUTH LOGIN
334 VXNlcm5hbWU6
bXl1c2VybmFtZUBkb21haW4uY29t
334 UGFzc3dvcmQ6
d2Vha3Bhc3M=
535 5.7.0 authentication failed
QUIT
DONE
这会生成一个额外的日志行,但之后完全相同的事件。
9 月 8 日 13:24:22 hbruijn sendmail[11648]:STARTTLS=server,relay=localhost [127.0.0.1],version=TLSv1/SSLv3,verify=NO,cipher=DHE-RSA-AES256-GCM-SHA384,bits= 256/256
Sep 8 13:24:32 hbruijn sendmail[11648]: v88BOMvW011648: localhost [127.0.0.1] 在连接到 MTA 期间没有发出 MAIL/EXPN/VRFY/ETRN
永远不要把可以用愚蠢充分解释的事情归咎于恶意:
我自己的域没有收到太多邮件,但在端口扫描和蛮力尝试方面有足够的互联网背景噪音。我在过去几天捕获了所有 SMTP 流量,除了很多独特的 IP 地址触发此类日志事件之外,我的服务器还有两个 IP 地址,当我的 sendmail 响应AUTH不受支持时,这些 IP 地址不会后退(没有 TLS)导致来自这些 IP 的大量警告。
至少对于这两个 IP 地址,正如我所料,它们看起来只是愚蠢的恶意软件程序,它们显然是通过用户名/密码列表运行的,而没有真正进行任何错误控制,并且在初始失败后也没有后退(这让我想知道如果他们甚至可以检测到他们是否/何时成功......)
和相关的日志:
9月10日4时04分34秒hbruijn的sendmail [7558]:v8A24YLM007558:196.196.27.126]连接MTA期间没有发出MAIL / EXPN / VRFY / ETRN
v8A24Yi1007561:9月10日4时04分34秒hbruijn的sendmail [7561] [ 196.196.27.126] 在连接到 MTA 期间没有发出 MAIL/EXPN/VRFY/ETRN
9 月 10 日 04:04:34 hbruijn sendmail[7564]: v8A24YHM007564: [196.196.27.126] 在连接期间没有发出 MAIL/EXPN/VRFY/ETRN/EXPRNFY/ETRN MAIL/EXPN/VRFY/ETRN到 MTA
9 月 10 日 04:04:35 hbruijn sendmail[7567]: v8A24YSY007567: [196.196.27.126] 在连接到 MTA 期间未发出 MAIL/EXPN/VRFY/ETRN
9 月 10 日 04:04:35 hbruijn sendmail[7580705775070575207] : [196.196.27.126] 在连接到 MTA 期间没有发出 MAIL/EXPN/VRFY/ETRN
9月10日4时04分35秒hbruijn的sendmail [7573]:v8A24ZYo007573:196.196.27.126]连接MTA期间没有发出MAIL / EXPN / VRFY / ETRN
v8A24ZLt007576:9月10日4时04分35秒hbruijn的sendmail [7576] [ 196.196.27.126] 在连接到 MTA 期间未发出 MAIL/EXPN/VRFY/ETRN
9 月 10 日 04:04:35 hbruijn sendmail[7579]: v8A24Zva007579: [196.196.27.126] 在 MAIL 连接期间未发出/EXPN/EXPRNFY/ETRN到 MTA
| 归档时间: |
|
| 查看次数: |
3937 次 |
| 最近记录: |