在前几天晚上,vps 服务商冻结了我的主机,理由是大量滥发邮件。
赶紧上机器排查,通过 EBPF ,抓到了是 xray 在发送大量的 smtp ,通过 access.log ,排查出原始请求是家里的 ip 发出的。可惜的是家里的软路由日志保存的时间不久,已经被刷掉了。
靠着之后几天的蹲守,终于在触发攻击的时候立刻抓到了日志,发现是某台匿名的局域网设备,查看家里的所有在线设备,发现是极米投影仪 H3 干的好事,而且不是开机后立马开始攻击,而是延迟一段时间后才开始。
结合触发攻击的时间点,可以完全确定就是这台设备。这个投影仪之前一直属于吃灰状态,最近才拿出来使用,没想到就给我整了个活。
不完全统计,会往以下地址发送大量 smtp 请求
zerocho.com:465
smtp.eatindie.com:465
mail.supnajain204.com:587
mx03.au.com:25
赶紧上机器排查,通过 EBPF ,抓到了是 xray 在发送大量的 smtp ,通过 access.log ,排查出原始请求是家里的 ip 发出的。可惜的是家里的软路由日志保存的时间不久,已经被刷掉了。
靠着之后几天的蹲守,终于在触发攻击的时候立刻抓到了日志,发现是某台匿名的局域网设备,查看家里的所有在线设备,发现是极米投影仪 H3 干的好事,而且不是开机后立马开始攻击,而是延迟一段时间后才开始。
结合触发攻击的时间点,可以完全确定就是这台设备。这个投影仪之前一直属于吃灰状态,最近才拿出来使用,没想到就给我整了个活。
不完全统计,会往以下地址发送大量 smtp 请求
zerocho.com:465
smtp.eatindie.com:465
mail.supnajain204.com:587
mx03.au.com:25
 | 3 busier 8 小时 47 分钟前 via iPhone 我自建节点都封 25/tcp 出站,毕竟那是 MTA 到 MTA 端口。 不过自建节点 465/tcp 和 587/tcp 的出站我一般不封,毕竟只是提交端口。自己正常邮件客户端要用。 |
 | 4 MFWT 8 小时 45 分钟前 感觉远端 Xray 出站可以做一下规则匹配,封掉 25 之类的出站 |
| 5 MFWT 8 小时 40 分钟前 可能搞不好还是远控马,因为某些第三方机顶盒就是类似情况,上电就变肉鸡,用来发 SPAM 或者成为代理节点 |
 | 6 想看看日志..这投影仪安卓系统的? |
Select Language