後二次的情形很像,都是偽造固定寄件者,
都會有同一個ip大量連線到Server的25 Port,
即使鎖IP,也沒用,因為對方會換,
一開始都以為設定檔那裡設錯,其實都沒錯,
從第一次遇到的信件內容來看,
難怪中彈,停用此帳號就恢復正常了
第二次再遇到,本以為queue信的attribute,可看出端倪,
不過這次只有一行named_attribute,無從判斷,
這次設定檔也沒錯,而是從maillog看出來,
也是試了一下,帳密也是設一樣,唉~~
大量連線的IP,用iptables鎖起來,沒用,因為不到十分鐘,對方會換ip
砍掉或停用帳號會最有效,
我用passwd lock來停用,沒用,還是會持續寄(真是怪),
須直接passwd檔mark(#)此帳號才有用,
之後就會出現如下圖,對方就會驗證一直失敗
結論:
懷疑被盜用帳號時,關鍵字sasl,就會有答案了,真不知為何每次我都耗一堆時間
~~
沒有留言:
張貼留言