这是一个创建于 33 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://imgur.com/a/cYhXMsY
有这些被攻击的情况:
信息泄露:访问临时文件
Hyland Perceptive Content Server 拒绝服务漏洞
操作系统命令注入 - 位于 HTTP 请求参数中
Hikvision 产品 CVE-2021-36260 命令注入漏洞
WEB 漏洞扫描器 - Nmap Script
Web 服务器扫描攻击 - HTTP 400
Apache Log4j2 远程代码执行漏洞
没开 465/993 端口之前没这个问题
有这些被攻击的情况:
信息泄露:访问临时文件
Hyland Perceptive Content Server 拒绝服务漏洞
操作系统命令注入 - 位于 HTTP 请求参数中
Hikvision 产品 CVE-2021-36260 命令注入漏洞
WEB 漏洞扫描器 - Nmap Script
Web 服务器扫描攻击 - HTTP 400
Apache Log4j2 远程代码执行漏洞
没开 465/993 端口之前没这个问题
 |
1
busier 33 天前 via Android
你又没设 ip 白名单,扫描器探测这种事情就不用大惊小怪了
|
 |
2
yinmin 33 天前 via iPhone
smtps 和 pop3s 防黑客盲扫是有办法的:禁止无 sni 访问即可。 我是前置用 nginx https stream ,指定 sni 域名转向 mail server 的 smtps 和 pop3s 端口,然后禁止无 sni 访问。
黑客盲扫一般是只知道 ip 不知道域名的,会直接给 nginx 挡住了。所有基于 tls 的协议都可以使用这种方式。 详细的配置方式可以问 gpt 。 |
 |
3
john2023 OP @yinmin https://imgur.com/a/VrzubmF 看样子是知道域名的。没修改前,我直接 openssl s_client -connect IP:PORT 是被拦截的,操作见图片。 提供 servername 后就可以通过。
|
|
5
yinmin 33 天前
https://imgur.com/a/cYhXMsY 这个报警不是攻击 465 和 993 端口的吧?
大概率与开 465/993 端口无关,只是时间巧合而已。 如果黑客通过特定域名攻击,有可能是同行竞争对手的攻击,而不是黑客通过 ip 地址段的盲扫。 |
 |
7
julyclyde 32 天前
你这几个漏洞看起来好像都是 web 方面不是邮件发面的?
|
 |
8
lisxour 32 天前
用人家的邮箱服务
|
 |
9
cnt2ex 32 天前
试试 fail2ban ,然后找 AI 生成能匹配这些扫描请求的正则表达式,或者看看网上有没有现成的匹配规则
|
|
10
john2023 OP |
Select Language