ukrainische hidehost Farmen
Martin Steigerwald
martin at lichtvoll.de
Do Feb 23 14:58:21 CET 2017
Am Donnerstag, 23. Februar 2017, 14:47:37 CET schrieb Christoph Kukulies:
> Ich habe haufenweise connects aus dem Netz 91.200 und würde die gerne
> loswerden. Sehen andere die z.Zt. auch?
Ich hab da nur wenige Versuche am 9. und am 12.2. Nix, was ich ohne Deinen
Hinweis überhaupt bemerkt hätte.
> Was kann man aus dem folgenden Log schließen?
>
> Feb 23 14:13:19 mydomain postfix/smtpd[26438]: warning: hostname
> vps863.hidehost.net does not resolve to address 91.200.12.142
> Feb 23 14:13:19 mydomain postfix/smtpd[26438]: connect from
> unknown[91.200.12.142]
> Feb 23 14:13:20 mydomain postfix/smtpd[26438]: lost connection after
> AUTH from unknown[91.200.12.142]
> Feb 23 14:13:20 mydomain postfix/smtpd[26438]: disconnect from
> unknown[91.200.12.142] ehlo=1 auth=0/1 commands=1/2
>
> Versuchen die eine Autentifizierung hinzukriegen? Oder fliegen die
> vorher raus?
Wenn ich das richtig lese, fordert der Host noch eine via SMTP AUTH
authentifitzierte Verbindung, um sich dann zu verabschieden, scheint also den
Authentifizerungsversuch aufzugeben. Möglicherweise um auf Lücken in der
Konfiguration (Open Relay) zu testen.
Das war bei mir genauso, z.B.:
/var/log/mail.log.1:Feb 12 15:35:42 mondschein postfix/smtpd[17268]: warning:
hostname dedic869.hidehost.net does not resolve to address 91.200.12.166
/var/log/mail.log.1:Feb 12 15:35:42 mondschein postfix/smtpd[17268]: connect
from unknown[91.200.12.166]
/var/log/mail.log.1:Feb 12 15:35:42 mondschein postfix/smtpd[17268]: lost
connection after AUTH from unknown[91.200.12.166]
/var/log/mail.log.1:Feb 12 15:35:42 mondschein postfix/smtpd[17268]: disconnect
from unknown[91.200.12.166]
Ich vermute VMs… oder in meinem Falle dedizierte Server, auf die irgendjemand
nicht gescheit aufgepasst hat.
Falls das bei Dir wirklich gehäuft auftritt, wäre evtl. ein Abuse Report
sinnvoll:
% Abuse contact for '91.200.12.0 - 91.200.15.255' is 'noc at lugalink.net'
remarks:
**********************************Attention***************************************
remarks: The pool is used other Department!
remarks: In case of questions related to SPAM, HACKING, SECURITY
remarks: Please contact directly abuse at vhoster.net
remarks: tel: +38 (044) 379-28-50; +7 (499) 404-16-45
remarks:
***********************************************************************************
Inwieweit diese Kontakt seriös auf Anfragen reagieren, habe ich noch nicht
getestet.
Ciao,
--
Martin
Mehr Informationen über die Mailingliste Postfixbuch-users