Upptäckte idag när jag skulle kolla mailen från min server att jag hade 7000 mail gällande "delivery failures". Jag kollade upp några, och fann att de alla var skickade till helt slumpmässiga adresser vid kända stora domäner innehållande ett typiskt spam-mail från "Greetings.com". Mailen var alla skickade från användaren "hlds" som endast är på mitt system som ägare av just hlds-paketet, men som jag aldrig använt för att skicka/ta emot mail (den finns exvis. inte i MySql-databasen där jag har alla användare av mailservern).
Min första reaktion på detta var att stänga port 25 i min Pfsense NAT/Brandvägg och blockera lösenordet på användaren "hlds", och än så länge tycks detta ha stoppat utskicken. Därefter gick jag vidare till att lusläsa den kilometerlånga mail.log, där jag strax innan alla mail från "hlds" började skickas kunde läsa följande två rader som väckte mitt intresse:
#Sep 12 03:24:09 localhost postfix/smtpd[4860]: connect from (IP-Adress).dynamic.hinet.net[ip-adress]
#Sep 12 03:24:11 localhost postfix/smtpd[4860]: NOQUEUE: rejec(samma ip-adress).dynamic.hinet.net: RCPT from (samma ip-adress).dynamic.hinet.net[samma ip-adress]: 554 Service unavailable; Client host [samma ip-adress] blocked using dnsbl.njabl.org; 1153350452; from=<(en-användare)@MyMainServer.com> to=<(till synes random adress)@yahoo.com.tw> proto=SMTP helo=<www.MyMainServer.com>
Tillägg inom parentes på svenska är "censureringar" av en och samma IP-adress samt två mailadresser. Domännamnen är intakta.
Det jag undrar först och främst är: Kan jag med denna rad dra några som helst slutsatser om vem som attackerat min server? Användaren (ip-adress).dynamic.hinet.net återkommer ett par gånger sedan, men inte med någon "unik" rad, som den här ovan.
Vidare vore det intressant att veta hur dessa mail kunde komma iväg trots att jag inte skickar ut någonting direkt från den servern, utan allt relayas via bredbandsbolagets SMTP-server (detta eftersom utgående port 25 är blockerad hos BBB). Jag har dock varit slarvig nog att ha både ut- och ingående port 25 öppen på min brandvägg - har detta utgjort en potentiell säkerhetsrisk?
Slutligen tar jag ytterst gärna emot tips om hur jag kan undvika att något liknande händer igen, och idéer om hur angriparen kunnat komma in från början.
Tack på förhand!