這問題有點長,先說一下環境:
我公司有二台mail server,一台在公司內部(合法,IP=.1,先叫A,sendmail),另一台在公司外部(半合法,二張網卡,一張對外/一張對內(.13),先叫B,postfix),我公司主要是以A為主,但A不能對外部,所以又用了B來當傳送器,問題來了
最近我發現A一直有從B來的log,EX:
-ERR [AUTH] Password supplied for "ssh(帳號不一定)" is incorrect. [pop_pass.c:1295] search at qaprc.alliedtelesis.com.tw (10.15.1.13): -ERR [AUTH] Password supplied for "search" is incorrect. [pop_pass.c:1295]
但我從B的maillog和message中,查不到ssh或search收發信件的log,當然A和B中也沒有ssh和search的帳號,B最近每天都送幾百封POP要求給A,造成A一直出現上述的log,這我能如何處理呢???
ps:B電腦其中一張網卡直接對internet,沒有firewall...(我也不想),B電腦不太能關閉mail service
如果是我,在找不到兇手之前,我會先把網路拔掉,然後更新所有套件,以防步因bug所造成的漏洞,再來除了看mail 的log外,會再去看log/message 跟 log/security 這二個log 看有沒有什麼怪的帳號跟來源,也會用封包的監控看有沒有什麼異常的來源一直try(b)電腦..
這些是一開始自己的大概作法...
有什麼想法再討論...