V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
AoEiuV020CN
V2EX  ›  程序员

自建邮箱被黑了,我不理解

  •  
  •   AoEiuV020CN · 95 天前 · 4083 次点击
    这是一个创建于 95 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首先是邮箱管理员账号转发了邮件发送超时的警报邮件到我的 gmail ,然后发现邮箱服务器昨晚开始 cpu 占用持续 100%,

    服务器关机休息一会儿再开 cpu 就正常了,但邮件无法发送到 gmail 了,

    之后检查邮件发现,是我一个测试账号一直在发邮件到各种各样奇怪的邮箱地址,虽然已发邮件中没有内容,但光是投递失败的退信就吃完了默认分配的 1G 空间,

    虽然吧,邮箱服务器是公网开放的,测试账号密码是弱口令的,但这邮箱正常用户只有我一个人,测试账号也只是我自己给我自己发测试邮件用的,应该裸奔有一年了,完全想不到怎么泄露的,

    看了一下滥发的邮件内容,都是一模一样的打招呼,想不到对方的目的,

    Hello,
    
      I have sent numerous emails to you and no response= have been received. Please kindly let me know if you received this.=
    
    Kind Regards,
    Mr. Fhadi Busheri
    

    而收件人的地址,就没有一个正常点的域名,都像是内部使用的,感觉主要是 postmaster 自建的邮箱系统或者被谷歌之类报 550 拒收的退信,
    光来自 aspmx.l.google.com 这个域名的拒收退信就有 8000 封,但收件人地址都不是谷歌的,是谷歌有卖反垃圾邮件系统?

    目前暂且改了个密码,加了 1G 空间,看看有没有后续,

    img

    32 条回复    2022-10-31 10:20:27 +08:00
    learningman
        1
    learningman  
       95 天前
    这种打招呼是为了筛选活跃的邮箱,你要是回了,下一封就该告诉你我得了癌症有 1000 万美元准备捐了
    WordTian
        2
    WordTian  
       95 天前
    既然有弱密码,那肯定就是被自动化扫描工具暴力猜解出来了。现在网络上的攻击行为都是很自动化的
    AoEiuV020CN
        3
    AoEiuV020CN  
    OP
       95 天前
    @learningman #1 啊你提醒到我了, 邮件可以指定回复地址不是我的邮箱而是黑客的邮箱,
    刚看了一下,每一封都有指定同一个地址,看来这就是黑客的邮箱了,

    Reply-To: [email protected]
    Senorsen
        4
    Senorsen  
       95 天前 via iPhone
    像 ls 说的,现在的扫描攻击行为高度自动化了,具体来说,你的域名可能能通过网络检索、SSL 证书颁发记录等多种手段获取到,搭建的应该也是广泛使用的开源的邮件服务端,爆破账号、滥发邮件等的攻击脚本早就千千万了
    tunggt
        5
    tunggt  
       95 天前
    端口被扫到了,你又用弱密码。这个密码尽量复杂一点。
    AoEiuV020CN
        6
    AoEiuV020CN  
    OP
       95 天前
    @tunggt #5 确实欠考虑了,正常在用的账号密码有相对复杂,
    这个测试账号主要是测试的时候频繁在各种应用中登录,为了方便输入密码,就干脆 test:test123456 了,
    AoEiuV020CN
        7
    AoEiuV020CN  
    OP
       95 天前
    @AoEiuV020CN #6
    test:test123456 是账号 test 密码 test123456 ,
    des
        8
    des  
       95 天前
    “虽然吧,邮箱服务器是公网开放的,测试账号密码是弱口令的”

    你怎么敢的啊,在公网上就得做好准备
    AoEiuV020CN
        9
    AoEiuV020CN  
    OP
       95 天前
    @des #8 确实有点心大了,一来没什么价值,二来没什么被攻击经验,三来这个账号一开始是打算测完就删除的,只是用完懒得删了,
    DianQK
        10
    DianQK  
       95 天前 via Android
    只暴露 25 和一个 ss/wireguard 端口?然后以“内网”形式访问 web 邮箱服务?我是这样搞的
    AoEiuV020CN
        11
    AoEiuV020CN  
    OP
       95 天前
    @DianQK #10 这种级别的安全性,我只在家里的公网 ip 这么搞,服务器终究还是提供方便用的,真被攻击了以后可能需要注意点,以前是确实觉得没必要,
    des
        12
    des  
       95 天前
    甚至我都能给你演示一遍怎么做到的

    首先扫描的 IP 地址,发现 443 端口是通的
    然后请求 https://你的 IP ,得到域名
    然后请求你域名的 mx 记录,得到你的邮箱服务 IP ,弱密码账号扫描
    GG

    并且以上都是自动化的,互联网上就是这样子,得时时刻刻做好防御
    des
        13
    des  
       95 天前
    @AoEiuV020CN 你这都用了一年还叫用完就删?
    AoEiuV020CN
        14
    AoEiuV020CN  
    OP
       95 天前
    @des #13 毕竟一直没出事,就越来越放心,也就越来越懒得删了,偶尔测试服务器是否正常还会拿出来用一用,
    AoEiuV020CN
        15
    AoEiuV020CN  
    OP
       95 天前
    @des #12 还能 https://你的 IP 这样反查域名的,这我真没想到,
    Veneris
        16
    Veneris  
       95 天前 via iPhone
    @des 为什么要 ip -> 域名 -> ip ,直接扫第一个 ip 端口可以吗
    zedboy
        17
    zedboy  
       95 天前
    请教一下, 用的哪个开源搭建的. 以及服务器配置. 想搭一个玩玩
    HFX3389
        18
    HFX3389  
       95 天前
    @AoEiuV020CN #15 因为 https://IP 一般浏览器会告诉你证书不匹配,然后证书上有域名
    AoEiuV020CN
        19
    AoEiuV020CN  
    OP
       95 天前   ❤️ 1
    @zedboy #17 我用的是 setup.mailu.io 的 docker 搭建的,配置 spf ,dkim 就能过一般的反垃圾邮件了,
    不装防病毒服务的话配置要求并不高,我在用的是 ucloud 新人优惠的最便宜乞丐服,CPU 1 核 内存 2G ,
    LindsayZhou
        20
    LindsayZhou  
       95 天前   ❤️ 1
    @AoEiuV020CN 基本操作了,一般我的 nginx server_name default 响应都是 return 444; 。
    你不盯日志的吗,我的邮局没有 web 以前也是天天被扫,后面写了个 fail2ban 把登陆验证失败的 ban 了。

    @zedboy 我觉得最好的是 https://maddy.email/ ,精简,资源消耗小,不过 webmail 要自己另外搭。
    如果你感兴趣的话,这个是我防止密码扫描的 fail2ban 配置(以 systemd service 启动 maddy )
    pb.koi.moe/5D

    还有一种是通过扫描,给我域名下的账号发垃圾邮件的。就我自己在用,扫中的几率也不大,就没管了。
    opengps
        21
    opengps  
       95 天前
    公网上的扫描器和暴力破解器很多的,单纯这一点,很多默认服务都是会中招的,这是做网络安全人员非常重视的基本问题。
    Showfom
        22
    Showfom  
       95 天前
    @LindsayZhou #20 借楼请教个问题,我也抄了你的 fail2ban 配制,但是为啥死活不生效

    # fail2ban-client status maddy-auth
    2022-10-28 11:16:09,575 fail2ban [1157317]: ERROR NOK: ('maddy-auth',)
    Sorry but the jail 'maddy-auth' does not exist
    asshell
        23
    asshell  
       95 天前
    楼主用的什么邮局呀
    LindsayZhou
        24
    LindsayZhou  
       95 天前
    @Showfom Debian 11 fail2ban 0.11.2-2 ?
    虽然我也遇到过问题,不过跟你的不一样,我是匹配不到日志记录。忘了改过什么了,我找找看还能不能找到。
    后续的讨论可以到我的 IRC 找我 https://irc.koi.moe
    Showfom
        25
    Showfom  
       95 天前
    @Showfom #22 自问自答下,找到原因了

    查看日志发现

    ERROR Backend 'systemd' failed to initialize due to No module named 'systemd'

    所以系统缺少 python3-systemd 这个包,安装即可

    apt install python3-systemd
    moonfly
        26
    moonfly  
       94 天前 via iPhone
    LZ 这情况对于我们搞邮件安全的来说这真的是太常见,太普通的攻击情况了!

    现在流行的电子邮件攻击已经从普通的账号密码暴力破解盗用账号发送垃圾邮件,逐步转向到了针对企业高价值邮箱的高级商业诈骗 BEC ,各种能绕过 SPF,DKIM,DMARC 技术的高级欺诈钓鱼攻击,以及各种 0Day APT 的邮件渗透攻击!

    这些攻击都是一天或一个月就只发一封邮件,非常难发现,且一旦中招就会损失巨大的高级威胁!

    我们这个行业的业务重心近几年也在从技术手段对抗防御的同时更多发展到给企业做模拟攻击演习,培训和提升企业员工的安全意识和邮件安全处理经验!

    PO 可以把这次遭遇当成一次邮件安全演习,只不过缺少事后的安全培训环节😂
    documentzhangx66
        28
    documentzhangx66  
       94 天前
    你那密码 test123456

    但凡你换成 [email protected] ,都不会被弱密码攻击。
    Felldeadbird
        29
    Felldeadbird  
       94 天前
    test:test123456 命中字典了。大概率是脚本。
    yuxuan
        30
    yuxuan  
       94 天前
    然后楼主你这张图又暴漏了好多信息出来 不安全呀
    blankmiss
        31
    blankmiss  
       94 天前
    我之前用 E5 搭建邮局 也被盗了 导致我的域名都被黑了
    onice
        32
    onice  
       92 天前
    大部分邮件系统不光支持 web ,还同时支持 smtp ,imap ,pop3 。攻击者暴力破解邮箱不一定是通过 web ,而是直接通过 imap 。比如 hydra 工具就能达到这个目的。当弱口令被成功拆解,直接一个脚本就能通过 smtp 批量发送了。全流程自动化。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   375 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 19:13 · PVG 03:13 · LAX 11:13 · JFK 14:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.