自建邮箱被黑了,我不理解

2022-10-28 16:08:04 +08:00
 AoEiuV020CN

首先是邮箱管理员账号转发了邮件发送超时的警报邮件到我的 gmail ,然后发现邮箱服务器昨晚开始 cpu 占用持续 100%,

服务器关机休息一会儿再开 cpu 就正常了,但邮件无法发送到 gmail 了,

之后检查邮件发现,是我一个测试账号一直在发邮件到各种各样奇怪的邮箱地址,虽然已发邮件中没有内容,但光是投递失败的退信就吃完了默认分配的 1G 空间,

虽然吧,邮箱服务器是公网开放的,测试账号密码是弱口令的,但这邮箱正常用户只有我一个人,测试账号也只是我自己给我自己发测试邮件用的,应该裸奔有一年了,完全想不到怎么泄露的,

看了一下滥发的邮件内容,都是一模一样的打招呼,想不到对方的目的,

Hello,

  I have sent numerous emails to you and no response= have been received. Please kindly let me know if you received this.=

Kind Regards,
Mr. Fhadi Busheri

而收件人的地址,就没有一个正常点的域名,都像是内部使用的,感觉主要是 postmaster 自建的邮箱系统或者被谷歌之类报 550 拒收的退信,
光来自 aspmx.l.google.com 这个域名的拒收退信就有 8000 封,但收件人地址都不是谷歌的,是谷歌有卖反垃圾邮件系统?

目前暂且改了个密码,加了 1G 空间,看看有没有后续,

5230 次点击
所在节点    程序员
32 条回复
opengps
2022-10-28 18:56:44 +08:00
公网上的扫描器和暴力破解器很多的,单纯这一点,很多默认服务都是会中招的,这是做网络安全人员非常重视的基本问题。
Showfom
2022-10-28 19:17:02 +08:00
@LindsayZhou #20 借楼请教个问题,我也抄了你的 fail2ban 配制,但是为啥死活不生效

# fail2ban-client status maddy-auth
2022-10-28 11:16:09,575 fail2ban [1157317]: ERROR NOK: ('maddy-auth',)
Sorry but the jail 'maddy-auth' does not exist
asshell
2022-10-28 19:24:35 +08:00
楼主用的什么邮局呀
LindsayZhou
2022-10-28 19:32:28 +08:00
@Showfom Debian 11 fail2ban 0.11.2-2 ?
虽然我也遇到过问题,不过跟你的不一样,我是匹配不到日志记录。忘了改过什么了,我找找看还能不能找到。
后续的讨论可以到我的 IRC 找我 https://irc.koi.moe
Showfom
2022-10-28 19:32:53 +08:00
@Showfom #22 自问自答下,找到原因了

查看日志发现

ERROR Backend 'systemd' failed to initialize due to No module named 'systemd'

所以系统缺少 python3-systemd 这个包,安装即可

apt install python3-systemd
moonfly
2022-10-29 09:55:45 +08:00
LZ 这情况对于我们搞邮件安全的来说这真的是太常见,太普通的攻击情况了!

现在流行的电子邮件攻击已经从普通的账号密码暴力破解盗用账号发送垃圾邮件,逐步转向到了针对企业高价值邮箱的高级商业诈骗 BEC ,各种能绕过 SPF,DKIM,DMARC 技术的高级欺诈钓鱼攻击,以及各种 0Day APT 的邮件渗透攻击!

这些攻击都是一天或一个月就只发一封邮件,非常难发现,且一旦中招就会损失巨大的高级威胁!

我们这个行业的业务重心近几年也在从技术手段对抗防御的同时更多发展到给企业做模拟攻击演习,培训和提升企业员工的安全意识和邮件安全处理经验!

PO 可以把这次遭遇当成一次邮件安全演习,只不过缺少事后的安全培训环节😂
johnrosen1
2022-10-29 11:33:05 +08:00
@AoEiuV020CN https://github.com/crowdsecurity/crowdsec 请。
documentzhangx66
2022-10-29 13:12:42 +08:00
你那密码 test123456

但凡你换成 testTEST@123456 ,都不会被弱密码攻击。
Felldeadbird
2022-10-29 15:23:54 +08:00
test:test123456 命中字典了。大概率是脚本。
yuxuan
2022-10-29 15:26:45 +08:00
然后楼主你这张图又暴漏了好多信息出来 不安全呀
blankmiss
2022-10-29 15:29:51 +08:00
我之前用 E5 搭建邮局 也被盗了 导致我的域名都被黑了
onice
2022-10-31 10:20:27 +08:00
大部分邮件系统不光支持 web ,还同时支持 smtp ,imap ,pop3 。攻击者暴力破解邮箱不一定是通过 web ,而是直接通过 imap 。比如 hydra 工具就能达到这个目的。当弱口令被成功拆解,直接一个脚本就能通过 smtp 批量发送了。全流程自动化。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/890741

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX