我有一个 VPS,上面安装了 ConfigServer 防火墙大约一年了。今天早上我开始收到来自 CFS 的此类电子邮件。我检查了 mail.log 和 auth.log,一切似乎都正常,服务器没有出现奇怪的登录。
这是我应该担心的事情吗?
(我已删除了我的 vps IP)
时间:2024 年 3 月 5 日星期二 20:40:43 +0200 PID:1983320(父 PID:1089935)帐户:postfix 正常运行时间:735 秒
可执行文件:
在/usr/lib/postfix/sbin/smtpd
命令行(通常在漏洞利用中被伪造):
smtpd -n smtps -t inet -u -c -o stress= -s 2 -o smtpd_sasl_auth_enable=yes -o smtpd_tls_security_level=may -o smtpd_tls_wrappermode=yes
按进程连接的网络连接(如果有):
TCP:xxx.xxx.xxx.xxx:465 -> 46.148.40.149:3036
答案1
该进程是 Postfix 的标准部分 – smtpd 实际上是处理入站 SMTP 连接的进程。对于 Postfix 子进程来说,该路径看起来很正常。
该连接看起来像是来自伊朗的入站 SMTPS 连接;其持续时间为 12 分钟,这对于 SMTP 来说绝对不寻常,因此我认为它正在忙于破解您的密码或发送垃圾邮件。(我不能 100% 确定 Postfix smtpd 是否在多个连接上持续运行;如果是这样,则正常运行时间正常。)