Пытались подключится к ESMTP?

Question

[Magikanen]

Системой мониторинга моего хостинга была зафиксирована нелегитимная сетевая активность. Он просят объяснения, но я не особо понимаю, что произошло. Кто-то пытался подключиться к моему почтовому серверу?

08:21:32.863: Accepted connection from 'ЗДЕСЬ IP МОЕГО VPS', port 587, timeout 25 secs.
08:21:32.863: Connection from ЗДЕСЬ IP МОЕГО VPS, Thu Mar 27, 08:21:32
08:21:32.863: << 220 uncuts.com ESMTP server ready.
08:21:33.222: >> ehlo v1hfv96vh6ka4kaz1s6d07
08:21:33.222: << 250-uncuts.com Hello v1hfv96vh6ka4kaz1s6d07; ESMTPs are:
08:21:33.222: << 250-TIME
08:21:33.238: << 250-SIZE
08:21:33.238: << 250-AUTH CRAM-MD5 LOGIN PLAIN
08:21:33.238: << 250-AUTH=LOGIN
08:21:33.238: << 250-STARTTLS
08:21:33.238: << 250 HELP
08:21:34.800: >> STARTTLS
08:21:34.800: << 220 OK, begin SSL/TLS negotiation now.
08:21:36.378: [*] SSL/TLS session established
08:21:36.378: [*] TLS_AES_256_GCM_SHA384, TLSv1.3, Kx=any, Au=any, Enc=AESGCM(256), Mac=AEAD
08:21:36.378: [*] No peer certificate presented.
08:21:36.378: >> ehlo v1hfv96vh6ka4kaz1s6d07
08:21:36.378: << 250-uncuts.com Hello v1hfv96vh6ka4kaz1s6d07; ESMTPs are:
08:21:36.378: << 250-TIME
08:21:36.378: << 250-SIZE
08:21:36.378: << 250-AUTH CRAM-MD5 LOGIN PLAIN
08:21:36.378: << 250-AUTH=LOGIN
08:21:36.378: << 250 HELP
08:21:37.003: >> AUTH CRAM-MD5
08:21:37.003: << 334 PDEwODc2MzI2ODcuMTQxMDJAdW5jdXRzLmNvbT4=
08:21:37.347: >> dG9tQHdpbnZvaWNlLmNvbSBhMmMwMmFhMThlNGI4ZjlkMGE2ZjVkNjY3ODBhNjNkOA==
08:21:37.363: << 501 Authentication failed - bad user or password.
08:21:37.707: 26: SSL_read returned zero (socket was closed)
08:21:37.707: >>
08:21:37.722: [!] Warning [Benign]: SSL connection improperly closed by remote host.
08:21:37.722: --- Connection closed at 27 Mar 2025, 8:21:37.722. --

Answer 1

[AUser0]

Да, пытались войти под логином tom@winvoice.com.
Но логин/пароль не совпали/не существуют, поэтому получили ошибку.

Хм, а точно во второй строке

Connection from ЗДЕСЬ IP МОЕГО VPS, Thu Mar 27, 08:21:32

засветился IP именно вашего VPS-а?
Потому что это нелогично, коннектиться на белый IP собственного MX-сервера.

Comments

[Magikanen]

Добрый день и спасибо за ответ!

засветился IP именно вашего VPS-а?

- Да, перепроверил

08:21:32.863: Accepted connection from '89.*.*.55', port 587, timeout 25 secs.
08:21:32.863: Connection from 89.*.*.55, Thu Mar 27, 08:21:32

[AUser0]

Тогда это однозначно указывает на вас (ваши скрипты на VPS-сервере).