Злоупотребление - Ошибка аутентификации SASL LOGIN: UGFzc3dvcmQ6

Question

Я получил электронное письмо от интернет-провайдера, в котором, кажется, ваш IP использует этот публичный IP как злоупотребление, я не понимаю, как это выяснить, чтобы найти источник причины, поэтому мне нужна помощь

postfix/smtpd[21723]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 10:51:59 shorelinedelivery
postfix/smtpd[21723]: disconnect from unknown[X.X.X.X] Apr 26
13:37:31 shorelinedelivery postfix/smtpd[25499]: connect from unknown[103.215.211.106] Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 13:37:35 shorelinedelivery
postfix/smtpd[25499]: disconnect from unknown[X.X.X.X] Apr 26
15:08:34 shorelinedelivery postfix/smtpd[27596]: connect from unknown[X.X.X.X] Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: warning: unknown[X.X.X.X]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Apr 26 15:08:37 shorelinedelivery
postfix/smtpd[27596]: disconnect from unknown[X.X.X.X] Apr 26

X.X.X.X - наш IP. Я не вижу здесь оскорблений или чего-то неправильного, у меня нет постфиксной части, у нас здесь нет постфиксного сервера, и этот ip - это IP-адрес наших пользователей, а не сервер, люди используют outlook. Я вижу ту же проблему с одним из моих серверов (установлена ​​программа «Word Press»), который взломал сервер и добавил сценарии для отправки спам-писем. но я не знаю, как читать этот журнал и исследовать, или что я должен спросить у провайдера для получения дополнительной информации.

Report from fail2ban
Reported-From: abuse-report@vaniersel.net
Report-Type: login-attack
User-Agent: vaniersel.net abuse report
Report-ID: 20180426000000198092@vaniersel.net
Date: Thu, 26 Apr 2018 01:55:17 +0200
Source: X.X.X.X
Source-Type: ipv4
Destination: 94.x.x.x
Destination-Type: ipv4
Attachment: text/plain
Schema-URL: http://www.x-arf.org/schema/abuse_login-attack_0.1.2.json
Category: abuse
Service: smtp
Port: 25

Answer 1

Для пояснения сообщения об ошибках аутентификации SASL поступают с удаленного сервера. Это говорит о том, что где-то на вашем IP-адресе или позади него идет процесс, который набирает этот сервер, пытаясь угадать пароли, чтобы отправить спам.

Что вам нужно сделать, это попытаться найти систему за вашим IP-адресом, который выполняет атаку. Если взломанный сервер WordPress находится на этом IP-адресе или позади него, это может быть он; у вас дома есть тестовый сервер? Я заметил, что дата в этом фрагменте журнала - 26 апреля, и это было опубликовано 5 мая.

Если все, что у вас есть за этим IP-адресом, это пользователи, то либо ваш маршрутизатор был взломан и используется преступником в качестве прокси-сервера, либо один из компьютеров ваших пользователей был взломан. Единственное, что нужно сделать, это заблокировать исходящий порт 25 на межсетевом экране маршрутизатора. Это заставляет ваших пользователей использовать более безопасный порт для своих почтовых клиентов. (Exchange или SSL зашифрованный порт 587 или 465 для стандартного SMTP)

Если вам неудобно делать это, пожалуйста, позвоните в ваш регион для ИТ-консультанта, который знаком с подобными нарушениями безопасности.