我的一个朋友昨天(2014 年 6 月 23 日)开始收到他所有域名电子邮件的投递失败通知,因此他请我调查此事。
我已经查看了各种日志,他的帐户日志没有显示任何不寻常的登录,但他的 apache 日志显示了一些有趣的条目。
我做了一些研究,根据其他 serverfault 帖子,它们是 SSL 的初始握手。通常我会将这种事情视为一般的机器人活动,但考虑到与垃圾邮件尝试的接近性,我想确定:
...76.133.2 - - [20/Jun/2014:22:04:22 -0400] "\x80w\x01\x03\x01" 501 653 "-" "-"
...76.133.2 - - [20/Jun/2014:22:04:25 -0400] "GET /HNAP1/ HTTP/1.1" 404 887 "[removed]" "Opera/9.60 (Windows NT 5.1; U; de) Presto/2.1.1"
我标记为[已删除]的引荐来源指向他所访问的网站的 IP。
他有 6 到 10 个域名,所有域名似乎都在几分钟之内收到了相同的请求,从 19 日到昨天(24 日)有好几次。
虽然现在它已经停止了,而且我告诉他要彻底扫描他的计算机,但我不知道这是否是由于这些日志可能表明的某些漏洞,或者这只是巧合。主机给我们的信息太少了,我唯一能说的是他们没有登录控制面板,这不是 cpanel,而是一些显然是专有的东西。他的主机是 IXWebhosting,如果这有帮助的话。
我的主要问题是,这是否仅仅是因为他的任何域名都没有任何 SPF 记录?或者这可能是其他原因,甚至与那些 Apache 日志有关?他的主机通过 ToS 违规票通知他垃圾邮件,所以我不确定 SPF 是否会触发他们这样做。
来自邮件守护程序的垃圾邮件标头之一的示例:
Return-Path: <[hidden]@wow-tek.com>
Received: (qmail 11259 invoked by uid 399); 25 Jun 2014 20:34:36 -0000
Received: from unknown (HELO wow-tek.com) ([hidden]@[email protected])
by mail1201.opentransfer.com with ESMTPAM; 25 Jun 2014 20:34:36 -0000
X-Originating-IP: ...29.95.247
Message-ID: <[hidden]@wow-tek.com>
Date: Thu, 26 Jun 2014 00:34:35 +0400
Reply-To: "[hidden]" <[hidden]@wow-tek.com>
From: "[hidden]" <[hidden]@wow-tek.com>
MIME-Version: 1.0
To: <[hidden]@gmail.com>
Subject: I @_m fond of rel@_xing with hot p@_ls like you.
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
(Body supressed)
这个IP地址不是他的。
另外,我希望我已经提供了足够的信息。我真的不太了解电子邮件伪造或类似的东西。如果需要/要求,我很乐意更新更多信息,只要告诉我是什么就行。