Acabo de recibir un correo electrónico que corresponde a la descripción aquí, que se publicó hace solo un par de horas:
Dado que el remitente era [email protected] , es posible que alguien haya iniciado sesión en mi servidor Ubuntu o simplemente se haya enviado el correo electrónico al servicio de correo electrónico de mi servidor, en cuyo caso es solo correo no deseado.
No pude encontrar ninguna evidencia de inicios de sesión desconocidos utilizando last o en syslog , pero hay una cantidad increíble de estos en syslog hoy:
postfix/smtpd[24558]: connect from jackofallthreads.co[128.199.182.74]
postfix/smtpd[24558]: lost connection after UNKNOWN from jackofallthreads.co[128.199.182.74]
postfix/smtpd[24558]: disconnect from jackofallthreads.co[128.199.182.74]
El inicio de sesión SSH en mi servidor requiere una clave privada, y el inicio de sesión raíz está inhabilitado.
EDITAR: Aquí está el historial de Delivered del correo electrónico. Nota Tengo un reenvío de correo electrónico de $ME@$MYDOMAIN a [email protected]. ¿Cómo puedo deducir de esto si mi servidor se vio comprometido?
Delivered-To: [email protected]
Received: by $SOMEIP with SMTP id $ID;
$DATE
Received: from localhost ($MYHOSTNAME. [$MYIP])
by mx.google.com with ESMTP id $ID
for <[email protected]>;
$DATE
Received-SPF: neutral (google.com: $MYIP is neither ... admin@$MYDOMAIN) client-ip=$MYIP;
Authentication-Results: mx.google.com;
spf=neutral (google.com: $MYIP is neither ... admin@$MYDOMAIN) smtp.mailfrom=admin@MYDOMAIN
Received: from [$SOMEIP] (unknown [$SOMEIP])
by localhost (Postfix) with ESMTP id $ID
for <$ME@$MYDOMAIN>; $DATE