在前几天晚上,vps 服务商冻结了我的主机,理由是大量滥发邮件。
赶紧上机器排查,通过 EBPF ,抓到了是 xray 在发送大量的 smtp ,通过 access.log ,排查出原始请求是家里的 ip 发出的。可惜的是家里的软路由日志保存的时间不久,已经被刷掉了。
靠着之后几天的蹲守,终于在触发攻击的时候立刻抓到了日志,发现是某台匿名的局域网设备,查看家里的所有在线设备,发现是极米投影仪 H3 干的好事,而且不是开机后立马开始攻击,而是延迟一段时间后才开始。
结合触发攻击的时间点,可以完全确定就是这台设备。这个投影仪之前一直属于吃灰状态,最近才拿出来使用,没想到就给我整了个活。
不完全统计,会往以下地址发送大量 smtp 请求
zerocho.com:465
smtp.eatindie.com:465
mail.supnajain204.com:587
mx03.au.com:25
赶紧上机器排查,通过 EBPF ,抓到了是 xray 在发送大量的 smtp ,通过 access.log ,排查出原始请求是家里的 ip 发出的。可惜的是家里的软路由日志保存的时间不久,已经被刷掉了。
靠着之后几天的蹲守,终于在触发攻击的时候立刻抓到了日志,发现是某台匿名的局域网设备,查看家里的所有在线设备,发现是极米投影仪 H3 干的好事,而且不是开机后立马开始攻击,而是延迟一段时间后才开始。
结合触发攻击的时间点,可以完全确定就是这台设备。这个投影仪之前一直属于吃灰状态,最近才拿出来使用,没想到就给我整了个活。
不完全统计,会往以下地址发送大量 smtp 请求
zerocho.com:465
smtp.eatindie.com:465
mail.supnajain204.com:587
mx03.au.com:25
 |
3
busier 3 天前 via iPhone
我自建节点都封 25/tcp 出站,毕竟那是 MTA 到 MTA 端口。
不过自建节点 465/tcp 和 587/tcp 的出站我一般不封,毕竟只是提交端口。自己正常邮件客户端要用。 |
 |
4
MFWT 3 天前
感觉远端 Xray 出站可以做一下规则匹配,封掉 25 之类的出站
|
|
5
MFWT 3 天前
可能搞不好还是远控马,因为某些第三方机顶盒就是类似情况,上电就变肉鸡,用来发 SPAM 或者成为代理节点
|
 |
6
Zy143L 3 天前
想看看日志..这投影仪安卓系统的?
|
 |
10
ztmzzz OP @Zy143L 有可能是后门做云控之类的操作,还好目前知道的就是发 smtp ,要是当肉鸡发了一些言论,那就真头疼了。没想到大几千的东西还这样,现在是禁止他联网了,插 hdmi 线用
|
 |
11
Greatshu 2 天前 via Android
看看投影仪能不能升级固件,可能是被黑了,投影机这种东西安全一般都做的很烂。之前联通光猫都被黑过,pinkbot 僵尸网络规模一度超过 500 万个节点。
|
Select Language