Ho appena ricevuto un'email che corrisponde alla descrizione qui, che è stata pubblicata solo un paio di ore fa:
Poiché il mittente era [email protected]
, qualcuno potrebbe aver effettuato l'accesso al mio server Ubuntu, oppure l'email è stata semplicemente inviata al servizio di posta elettronica sul mio server, nel qual caso è solo spam.
Non sono riuscito a trovare alcuna prova di accessi sconosciuti utilizzando last
o in syslog
, ma oggi ne esiste una quantità folle in syslog
:
postfix/smtpd[24558]: connect from jackofallthreads.co[128.199.182.74]
postfix/smtpd[24558]: lost connection after UNKNOWN from jackofallthreads.co[128.199.182.74]
postfix/smtpd[24558]: disconnect from jackofallthreads.co[128.199.182.74]
L'accesso SSH al mio server richiede una chiave privata e l'accesso root è disabilitato.
EDIT: questa è la cronologia Delivered
della posta elettronica. Nota Inoltro di e-mail da $ME@$MYDOMAIN
a [email protected].
Come si può ottenere da questo se il mio server è stato compromesso?
Delivered-To: [email protected]
Received: by $SOMEIP with SMTP id $ID;
$DATE
Received: from localhost ($MYHOSTNAME. [$MYIP])
by mx.google.com with ESMTP id $ID
for <[email protected]>;
$DATE
Received-SPF: neutral (google.com: $MYIP is neither ... admin@$MYDOMAIN) client-ip=$MYIP;
Authentication-Results: mx.google.com;
spf=neutral (google.com: $MYIP is neither ... admin@$MYDOMAIN) smtp.mailfrom=admin@MYDOMAIN
Received: from [$SOMEIP] (unknown [$SOMEIP])
by localhost (Postfix) with ESMTP id $ID
for <$ME@$MYDOMAIN>; $DATE