Recentemente ho notato una sessione SMTP sul mio server che è iniziata quando un host remoto si è connesso, ma non sembravano mai aver causato l'invio di e-mail. Ho potuto vedere che si trattava probabilmente di un sito SPAM e quindi ho ucciso la sessione SMTP, ma l'host remoto è stato riconnesso immediatamente ma utilizzando un diverso dominio HELO.
Ero curioso di sapere cosa stavano facendo quindi ho usato tcpdump per catturare la sessione e l'ho ucciso di nuovo per catturare una sessione dall'inizio.
Quello che ho trovato è stato:
HELO randomdomain.com RSET AUTH LOGIN
Con RSET e AUTH LOGIN ripetuti all'infinito in un loop.
Questo sembra un attacco di forza bruta sulle password?