サーバーが危険にさらされていますか? (ランサムウェア関連)
ほんの数時間前に投稿された、ここの説明に対応するメールを受け取りました。
送信者は[email protected]だったので、誰かが私のUbuntuサーバーにログインしたか、メールが単に私のサーバーのメールサービスに送信された可能性があります。その場合はスパムです。
lastまたはsyslogを使用した不明なログインの証拠は見つかりませんでしたが、今日のsyslogには非常に多くのログインがあります。
postfix/smtpd[24558]: connect from jackofallthreads.co[128.199.182.74]
postfix/smtpd[24558]: lost connection after UNKNOWN from jackofallthreads.co[128.199.182.74]
postfix/smtpd[24558]: disconnect from jackofallthreads.co[128.199.182.74]
サーバーへのSSHログインには秘密鍵が必要であり、rootログインは無効になっています。
編集:これがメールのDelivered履歴です。 $ME@$MYDOMAINから[email protected].にメールを転送していることに注意してください。サーバーが侵害されたかどうかをこれからどのように収集できますか?
Delivered-To: [email protected]
Received: by $SOMEIP with SMTP id $ID;
$DATE
Received: from localhost ($MYHOSTNAME. [$MYIP])
by mx.google.com with ESMTP id $ID
for <[email protected]>;
$DATE
Received-SPF: neutral (google.com: $MYIP is neither ... admin@$MYDOMAIN) client-ip=$MYIP;
Authentication-Results: mx.google.com;
spf=neutral (google.com: $MYIP is neither ... admin@$MYDOMAIN) smtp.mailfrom=admin@MYDOMAIN
Received: from [$SOMEIP] (unknown [$SOMEIP])
by localhost (Postfix) with ESMTP id $ID
for <$ME@$MYDOMAIN>; $DATE
サーバーへのSSHログインには秘密鍵が必要であり、rootログインは無効になっています。
Sshの賢明な予防策です。
送信者は[email protected]だったので
Sshに注意を払う場合、SMTPにも同じことを適用しますか?少なくとも、ドメインにSPFを構成しておく必要があります。あなたは? SPFは受信MTAによって検証されていますか?これにより、正当な送信元からではない電子メールを受信するのを防ぐことができます(または少なくともノイズを減らすことができます)。
Tat SPFが何らかの理由でエンドツーエンドで機能していないと仮定して、電子メールヘッダーをチェックして、実際にサーバーから発信されたかどうかを確認しましたか?発生する可能性は非常に低いと思いますが、その場合は、サーバーまたはホスティング環境が危険にさらされていると疑う十分な理由があります。
そうでない場合は、電子メールのセキュリティを整理するためのちょっとしたプロンプトと考えてください。