我有类似这样的行/var/log/messages
:
Jul 12 01:26:00 h2 xinetd[1596]: START: smtp pid=11253 from=::ffff:221.219.213.54
我需要知道这是否是一种电子邮件连接,就像一台服务器向另一台服务器发送电子邮件时建立的连接一样。或者它是用户登录到服务器(通常使用用户/密码)的连接,例如通过 IMAP 或 POP 并自由发送电子邮件。
编辑:该 IP 显示在退回电子邮件的标题中
Received: from unknown (HELO 176.9.76.194) (221.219.213.54)
by h2.adriantnt.com with SMTP; 12 Jul 2015 01:26:02 +0200
Received: from 233.246.168.139 by 221.219.213.54; Sat, 11 Jul 2015 22:16:46 -0100
176.9.76.194
我的服务器
我不确定它是伪造的退回邮件还是从我的服务器发送的消息,后者意味着某人未经授权访问了服务器,因为它通常不对 IMAP/POP 类型的用户登录开放。
答案1
此行仅告诉我们您正在获得与 xinited 服务器的连接,该服务器通过给定 IP 请求的连接“唤醒” smtp 服务器。
查看 smtp 服务器日志,了解守护进程正在执行的操作。提供的信息不会给我们任何有关您要求的线索,如果您不添加更多数据,这些信息很可能会遭到否决。
如果用户登录到服务器,则指的是 SSH,它发生在 SSHD 端口,默认为 22,而当请求任何类型的加密时,smtp 端口默认为 25。
答案2
该日志仅显示 xinetd 在与 smtp 关联的端口上接收到了请求并将其发送到 smtp 进程。
由于您使用的是 centos,如果您想查看用户登录活动,您必须/var/log/wtmp
使用命令查看文件utmpdump
。