ukrainische hidehost Farmen

Martin Steigerwald martin at lichtvoll.de
Do Feb 23 14:58:21 CET 2017


Am Donnerstag, 23. Februar 2017, 14:47:37 CET schrieb Christoph Kukulies:
> Ich habe haufenweise connects aus dem Netz 91.200 und würde die gerne
> loswerden. Sehen andere die z.Zt. auch?

Ich hab da nur wenige Versuche am 9. und am 12.2. Nix, was ich ohne Deinen 
Hinweis überhaupt bemerkt hätte.

> Was kann man aus dem folgenden Log schließen?
> 
> Feb 23 14:13:19 mydomain postfix/smtpd[26438]: warning: hostname
> vps863.hidehost.net does not resolve to address 91.200.12.142
> Feb 23 14:13:19 mydomain postfix/smtpd[26438]: connect from
> unknown[91.200.12.142]
> Feb 23 14:13:20 mydomain postfix/smtpd[26438]: lost connection after
> AUTH from unknown[91.200.12.142]
> Feb 23 14:13:20 mydomain postfix/smtpd[26438]: disconnect from
> unknown[91.200.12.142] ehlo=1 auth=0/1 commands=1/2
> 
> Versuchen die eine Autentifizierung hinzukriegen? Oder fliegen die
> vorher raus?

Wenn ich das richtig lese, fordert der Host noch eine via SMTP AUTH 
authentifitzierte Verbindung, um sich dann zu verabschieden, scheint also den 
Authentifizerungsversuch aufzugeben. Möglicherweise um auf Lücken in der 
Konfiguration (Open Relay) zu testen.

Das war bei mir genauso, z.B.:

/var/log/mail.log.1:Feb 12 15:35:42 mondschein postfix/smtpd[17268]: warning: 
hostname dedic869.hidehost.net does not resolve to address 91.200.12.166
/var/log/mail.log.1:Feb 12 15:35:42 mondschein postfix/smtpd[17268]: connect 
from unknown[91.200.12.166]
/var/log/mail.log.1:Feb 12 15:35:42 mondschein postfix/smtpd[17268]: lost 
connection after AUTH from unknown[91.200.12.166]
/var/log/mail.log.1:Feb 12 15:35:42 mondschein postfix/smtpd[17268]: disconnect 
from unknown[91.200.12.166]

Ich vermute VMs… oder in meinem Falle dedizierte Server, auf die irgendjemand 
nicht gescheit aufgepasst hat.

Falls das bei Dir wirklich gehäuft auftritt, wäre evtl. ein Abuse Report 
sinnvoll:

% Abuse contact for '91.200.12.0 - 91.200.15.255' is 'noc at lugalink.net'

remarks:        
**********************************Attention***************************************
remarks:        The pool is used other Department!
remarks:        In case of questions related to SPAM, HACKING, SECURITY
remarks:        Please contact directly abuse at vhoster.net
remarks:        tel: +38 (044) 379-28-50; +7 (499) 404-16-45
remarks:        
***********************************************************************************

Inwieweit diese Kontakt seriös auf Anfragen reagieren, habe ich noch nicht 
getestet.

Ciao,
-- 
Martin



Mehr Informationen über die Mailingliste Postfixbuch-users