在前几天晚上,vps 服务商冻结了我的主机,理由是大量滥发邮件。
赶紧上机器排查,通过 EBPF ,抓到了是 xray 在发送大量的 smtp ,通过 access.log ,排查出原始请求是家里的 ip 发出的。可惜的是家里的软路由日志保存的时间不久,已经被刷掉了。
靠着之后几天的蹲守,终于在触发攻击的时候立刻抓到了日志,发现是某台匿名的局域网设备,查看家里的所有在线设备,发现是极米投影仪 H3 干的好事,而且不是开机后立马开始攻击,而是延迟一段时间后才开始。
结合触发攻击的时间点,可以完全确定就是这台设备。这个投影仪之前一直属于吃灰状态,最近才拿出来使用,没想到就给我整了个活。
不完全统计,会往以下地址发送大量 smtp 请求
zerocho.com:465
smtp.eatindie.com:465
mail.supnajain204.com:587
mx03.au.com:25
赶紧上机器排查,通过 EBPF ,抓到了是 xray 在发送大量的 smtp ,通过 access.log ,排查出原始请求是家里的 ip 发出的。可惜的是家里的软路由日志保存的时间不久,已经被刷掉了。
靠着之后几天的蹲守,终于在触发攻击的时候立刻抓到了日志,发现是某台匿名的局域网设备,查看家里的所有在线设备,发现是极米投影仪 H3 干的好事,而且不是开机后立马开始攻击,而是延迟一段时间后才开始。
结合触发攻击的时间点,可以完全确定就是这台设备。这个投影仪之前一直属于吃灰状态,最近才拿出来使用,没想到就给我整了个活。
不完全统计,会往以下地址发送大量 smtp 请求
zerocho.com:465
smtp.eatindie.com:465
mail.supnajain204.com:587
mx03.au.com:25
Select Language