LINUX.ORG.RU
ФорумAdmin

Пришло странное письмо. Может, заломали какой-то древний хост?


0

2

Народ, тут такое дело. Вчера свалилось на почтовый ящик письмо следующего содержания:

From: striyuk@d1stkfactory <striyuk@d1stkfactory> 24 сентября 2013 г., 2:44 
To: xintrea(гафф)гмыло.com
Subj: Отправка из консоли
Это письмо из консоли.

Кто отправитель - не знаю.

Но дело в том, что я примерно так же проверяю отправку из консоли. Пишу скриптик отправки через sendmail или какой-нибудь ssmtp, сабж и текст пишу по-русски, ставлю в конце точку. И проверяю отправку. Такое впечатление, что отправили каким-то моим скриптом. И именно мне.

Может быть, кому-то достался образ виртуалки какого-нибудь моего бывшего хостера? Или залезли на какой-то хост, который мне давненько приходилось админить?

Посему хочу понять, откуда письмо прилетело (домен очень странный). Пароль на почте сразу сменил на всякий случай. Полное содержимое письма:

Delivered-To: xintrea(гафф)гмыло.com
Received: by 10.52.53.7 with SMTP id x7csp256063vdo;
        Mon, 23 Sep 2013 15:44:12 -0700 (PDT)
X-Received: by 10.14.183.130 with SMTP id q2mr41074453eem.5.1379976251550;
        Mon, 23 Sep 2013 15:44:11 -0700 (PDT)
Return-Path: <striyuk@d1stkfactory>
Received: from localhost ([37.139.5.117])
        by mx.google.com with ESMTPS id k49si24585449een.232.1969.12.31.16.00.00
        (version=TLSv1.2 cipher=RC4-SHA bits=128/128);
        Mon, 23 Sep 2013 15:44:11 -0700 (PDT)
Received-SPF: neutral (google.com: 37.139.5.117 is neither permitted nor denied by best guess record for domain of striyuk@d1stkfactory) client-ip=37.139.5.117;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 37.139.5.117 is neither permitted nor denied by best guess record for domain of striyuk@d1stkfactory) smtp.mail=striyuk@d1stkfactory
Received: from striyuk by localhost with local (Exim 4.80)
	(envelope-from <striyuk@d1stkfactory>)
	id 1VOErS-0002X8-CB
	for xintrea(гафф)гмыло.com; Mon, 23 Sep 2013 22:44:10 +0000
Date: Mon, 23 Sep 2013 22:44:10 +0000
To: xintrea(гафф)гмыло.com
Subject: =?utf-8?B?0J7RgtC/0YDQsNCy0LrQsCDQuNC3INC60L7QvdGB0L7Qu9C4?=
User-Agent: Heirloom mailx 12.5 6/20/10
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Message-Id: <E1VOErS-0002X8-CB@localhost>
From: striyuk@d1stkfactory

Это письмо из консоли.

Поиск в интернете по «d1stkfactory» дал кусок лога сканирования через nmap какого-то локал-хоста:

http://pastebin.com/eHCN3QZu

Строка «ssl-cert: Subject: commonName=d1stkfactory».

По набору открытых портов и ПО ни на какой мой бывший хост вроде как не похоже. Я никогда не пользовался Wordpress, MariaDB, хотя вроде как давно крутил передачу сообщений по XMPP.

Nmap scan report for localhost (127.0.0.1)
Host is up (0.0019s latency).
Not shown: 987 closed ports
PORT     STATE SERVICE  VERSION
22/tcp   open  ssh      OpenSSH 6.0p1 Debian 4 (protocol 2.0)
| ssh-hostkey: 1024 db:8e:6c:2c:c1:a4:d5:3c:27:3a:4f:23:f7:9a:7d:21 (DSA)
|_2048 09:0b:fb:b0:59:bc:31:d8:4d:7f:a3:66:ec:95:f3:41 (RSA)
23/tcp   open  telnet   Linux telnetd
25/tcp   open  smtp     Postfix smtpd
|_smtp-commands: irth.pl, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, AUTH PLAIN LOGIN, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 
| ssl-cert: Subject: commonName=d1stkfactory
| Not valid before: 2013-05-03 18:25:53
|_Not valid after:  2023-05-01 18:25:53
80/tcp   open  http     lighttpd 1.4.31
|_http-generator: WordPress 3.5.2
|_http-methods: No Allow or Public header in OPTIONS response (status code 200)
|_http-title: Irthowy blog v3 | Blog lekko chorego psychicznie trzynastolatk...
143/tcp  open  imap     Dovecot imapd
|_imap-capabilities: LOGIN-REFERRALS post-login AUTH=PLAIN AUTH=LOGINA0001 IMAP4rev1 have ID capabilities more listed OK ENABLE STARTTLS LITERAL+ IDLE SASL-IR Pre-login
443/tcp  open  ssl/http lighttpd 1.4.31
| ssl-cert: Subject: commonName=irth.pl
| Not valid before: 2013-07-16 09:12:28
|_Not valid after:  2014-07-16 09:12:28
|_http-methods: No Allow or Public header in OPTIONS response (status code 301)
|_http-title: Did not follow redirect to https://localhost/ and no page was returned.
993/tcp  open  ssl/imap Dovecot imapd
|_imap-capabilities: LOGIN-REFERRALS capabilities more post-login have AUTH=PLAIN listed AUTH=LOGINA0001 IMAP4rev1 Pre-login ENABLE OK LITERAL+ IDLE SASL-IR ID
| ssl-cert: Subject: commonName=irth.pl/organizationName=Dovecot mail server
| Not valid before: 2013-07-19 19:28:53
|_Not valid after:  2023-07-19 19:28:53
2047/tcp open  http     ZNC IRC bouncer http config (not enabled)
|_http-title: Site doesn't have a title.
2048/tcp open  ssl/http ZNC IRC bouncer http config 0.097 or later
| http-robots.txt: 1 disallowed entry 
|_/
|_http-title: ZNC - Web Frontend
| ssl-cert: Subject: commonName=host.unknown/organizationName=SomeCompany/stateOrProvinceName=SomeState/countryName=US
| Not valid before: 2013-07-17 07:49:02
|_Not valid after:  2023-07-15 07:49:02
3306/tcp open  mysql    MySQL 5.5.32-MariaDB-1~wheezy-log
| mysql-info: Protocol: 10
| Version: 5.5.32-MariaDB-1~wheezy-log
| Thread ID: 5628
| Some Capabilities: Long Passwords, Connect with DB, Compress, ODBC, Transactions, Secure Connection
| Status: Autocommit
|_Salt: Yt[I>;LL
5000/tcp open  http     Werkzeug httpd 0.9.1 (Python 2.7.3)
|_http-title: Blog - Page 1 - Ashley's homepage
5222/tcp open  jabber   Prosody Jabber client
| ssl-cert: Subject: commonName=d1stkfactory
| Not valid before: 2013-05-03 18:25:53
|_Not valid after:  2023-05-01 18:25:53
| xmpp-info: 
|   XMPP
|     Lang
|       en
|     v1.0
|   features
|     TLS (before TLS stream)
|   AUTH MECHANISMS (4)
|     SCRAM-SHA-1
|     DIGEST-MD5
|     Non-SASL (in TLS stream)
|     PLAIN (in TLS stream)
|_  Respects server name
5269/tcp open  jabber   Prosody Jabber client
| xmpp-info: 
|   XMPP
|     v1.0
|   features
|     Server Dialback
|     TLS (before TLS stream)
|_  Respects server name
| ssl-cert: Subject: commonName=d1stkfactory
| Not valid before: 2013-05-03 18:25:53
|_Not valid after:  2023-05-01 18:25:53
Service Info: Host:  irth.pl; OS: Linux; CPE: cpe:/o:linux:kernel

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 175.24 seconds

В общем, помогите выяснить что это такое, походу я не понимаю что происходит.

★★★★★

Письмо прилетело с 37.139.5.117, это digitalocean.com Похоже, это cloud-хостер, которым ты пользовался

Chumka ★★★ ()

whois 37.139.5.117 говорит нам, что это письмо из поганой шараги digital ocean. Вероятно, какой-то человек купил там виртуалку и неправильно набрал свой адрес на гмыле, тестируя отправку почты

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.