在我的 Logwatch 日志中,我发现 3 行看起来很奇怪的内容,我推测它们是黑客攻击。
IMAP 连接来自 @ [::ffff:121.183.126.37]DEBUG:连接,ip=[::ffff:5.102.221.2]:6 次
地址 121.183.126.37 是韩国 IP,不是我们的,可能是攻击者。另一个地址 5.102.221.2 是我们的 IP。我还有另外 3 条类似的线路,它们具有相同的韩国 IP,但与我们客户的 IP 不同。
IMAP 连接来自 @ [::ffff:2.187.25.14]checkmailpasswd:失败:管理员 - 不允许短名称来自 @ [::ffff:2.187.25.14]DEBUG:连接,ip=[::ffff:5.102.221.2]:1 次
这次的源 IP 是 2.187.25.14,来自伊朗注册商,而我们的客户 IP 是 5.102.221.2。
IMAP 连接来自 @ [::ffff:2.187.25.14]checkmailpasswd:失败:管理员 - 不允许短名称来自 @ [::ffff:2.187.25.14]IMAP 连接来自 @ [::ffff:5.102.221.2]INFO:登录,[电子邮件保护], ip=[::ffff:5.102.221.2]: 1 次
我把用途改为[电子邮件保护]。
有人能帮我理解这一点吗?我知道有人在试图暴力破解我们,但我们的 IP 地址与此有何关系?
答案1
前几行是尝试进行暴力攻击的远程连接(所有明显具有远程 IP 地址的连接)
您的邮件服务器上有 Webmail 界面吗?如果有,来自 Webmail 的连接将显示为来自本地 IP 地址。最后一个条目源自您的 IP 地址并使用用户@域格式,可能是有人登录 Webmail 并输入了错误的密码。
(根据您的评论进行了编辑)
您的日志文件显示了连接的 IP 地址和正在连接的 IP 地址。这就是为什么会有“攻击 IP”和“您的 IP”。据我所知,这是 Postfix 的正常日志记录语法。