Sesión SMTP de larga ejecución

9

Recientemente noté una sesión SMTP en mi servidor que comenzó cuando se conectó un host remoto, pero nunca pareció que se enviaran correos electrónicos. Pude ver que probablemente era un sitio de SPAM y, por lo tanto, eliminé la sesión SMTP, pero el host remoto se reconectó inmediatamente pero usaba un dominio HELO diferente.

Tenía curiosidad por lo que estaban haciendo, así que utilicé tcpdump para capturar la sesión y la maté de nuevo para capturar una sesión desde el principio.

Lo que encontré fue lo que hicieron:

HELO randomdomain.com RSET Acceso automático

Con RSET y AUTH LOGIN se repiten una y otra vez en un bucle.

¿Esto parece un ataque de fuerza bruta en las contraseñas?

    
pregunta John Shardlow 09.05.2011 - 02:34
fuente

1 respuesta

8

Yo diría que parece un ataque de fuerza bruta: es probable que intenten obtener acceso a su servidor de correo para enviar correo no deseado o que utilicen SMTP como una vía general de ataque en su servidor.

    
respondido por el Magnus 09.05.2011 - 02:45
fuente

Lea otras preguntas en las etiquetas