Народ, тут такое дело. Вчера свалилось на почтовый ящик письмо следующего содержания:
From: striyuk@d1stkfactory <striyuk@d1stkfactory> 24 сентября 2013 г., 2:44
To: xintrea(гафф)гмыло.com
Subj: Отправка из консоли
Это письмо из консоли.Кто отправитель - не знаю.
Но дело в том, что я примерно так же проверяю отправку из консоли. Пишу скриптик отправки через sendmail или какой-нибудь ssmtp, сабж и текст пишу по-русски, ставлю в конце точку. И проверяю отправку. Такое впечатление, что отправили каким-то моим скриптом. И именно мне.
Может быть, кому-то достался образ виртуалки какого-нибудь моего бывшего хостера? Или залезли на какой-то хост, который мне давненько приходилось админить?
Посему хочу понять, откуда письмо прилетело (домен очень странный). Пароль на почте сразу сменил на всякий случай. Полное содержимое письма:
Delivered-To: xintrea(гафф)гмыло.com
Received: by 10.52.53.7 with SMTP id x7csp256063vdo;
Mon, 23 Sep 2013 15:44:12 -0700 (PDT)
X-Received: by 10.14.183.130 with SMTP id q2mr41074453eem.5.1379976251550;
Mon, 23 Sep 2013 15:44:11 -0700 (PDT)
Return-Path: <striyuk@d1stkfactory>
Received: from localhost ([37.139.5.117])
by mx.google.com with ESMTPS id k49si24585449een.232.1969.12.31.16.00.00
(version=TLSv1.2 cipher=RC4-SHA bits=128/128);
Mon, 23 Sep 2013 15:44:11 -0700 (PDT)
Received-SPF: neutral (google.com: 37.139.5.117 is neither permitted nor denied by best guess record for domain of striyuk@d1stkfactory) client-ip=37.139.5.117;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 37.139.5.117 is neither permitted nor denied by best guess record for domain of striyuk@d1stkfactory) smtp.mail=striyuk@d1stkfactory
Received: from striyuk by localhost with local (Exim 4.80)
(envelope-from <striyuk@d1stkfactory>)
id 1VOErS-0002X8-CB
for xintrea(гафф)гмыло.com; Mon, 23 Sep 2013 22:44:10 +0000
Date: Mon, 23 Sep 2013 22:44:10 +0000
To: xintrea(гафф)гмыло.com
Subject: =?utf-8?B?0J7RgtC/0YDQsNCy0LrQsCDQuNC3INC60L7QvdGB0L7Qu9C4?=
User-Agent: Heirloom mailx 12.5 6/20/10
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Message-Id: <E1VOErS-0002X8-CB@localhost>
From: striyuk@d1stkfactory
Это письмо из консоли.Поиск в интернете по «d1stkfactory» дал кусок лога сканирования через nmap какого-то локал-хоста:
Строка «ssl-cert: Subject: commonName=d1stkfactory».
По набору открытых портов и ПО ни на какой мой бывший хост вроде как не похоже. Я никогда не пользовался Wordpress, MariaDB, хотя вроде как давно крутил передачу сообщений по XMPP.
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0019s latency).
Not shown: 987 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
| ssh-hostkey: 1024 db:8e:6c:2c:c1:a4:d5:3c:27:3a:4f:23:f7:9a:7d:21 (DSA)
|_2048 09:0b:fb:b0:59:bc:31:d8:4d:7f:a3:66:ec:95:f3:41 (RSA)
23/tcp open telnet Linux telnetd
25/tcp open smtp Postfix smtpd
|_smtp-commands: irth.pl, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, AUTH PLAIN LOGIN, ENHANCEDSTATUSCODES, 8BITMIME, DSN,
| ssl-cert: Subject: commonName=d1stkfactory
| Not valid before: 2013-05-03 18:25:53
|_Not valid after: 2023-05-01 18:25:53
80/tcp open http lighttpd 1.4.31
|_http-generator: WordPress 3.5.2
|_http-methods: No Allow or Public header in OPTIONS response (status code 200)
|_http-title: Irthowy blog v3 | Blog lekko chorego psychicznie trzynastolatk...
143/tcp open imap Dovecot imapd
|_imap-capabilities: LOGIN-REFERRALS post-login AUTH=PLAIN AUTH=LOGINA0001 IMAP4rev1 have ID capabilities more listed OK ENABLE STARTTLS LITERAL+ IDLE SASL-IR Pre-login
443/tcp open ssl/http lighttpd 1.4.31
| ssl-cert: Subject: commonName=irth.pl
| Not valid before: 2013-07-16 09:12:28
|_Not valid after: 2014-07-16 09:12:28
|_http-methods: No Allow or Public header in OPTIONS response (status code 301)
|_http-title: Did not follow redirect to https://localhost/ and no page was returned.
993/tcp open ssl/imap Dovecot imapd
|_imap-capabilities: LOGIN-REFERRALS capabilities more post-login have AUTH=PLAIN listed AUTH=LOGINA0001 IMAP4rev1 Pre-login ENABLE OK LITERAL+ IDLE SASL-IR ID
| ssl-cert: Subject: commonName=irth.pl/organizationName=Dovecot mail server
| Not valid before: 2013-07-19 19:28:53
|_Not valid after: 2023-07-19 19:28:53
2047/tcp open http ZNC IRC bouncer http config (not enabled)
|_http-title: Site doesn't have a title.
2048/tcp open ssl/http ZNC IRC bouncer http config 0.097 or later
| http-robots.txt: 1 disallowed entry
|_/
|_http-title: ZNC - Web Frontend
| ssl-cert: Subject: commonName=host.unknown/organizationName=SomeCompany/stateOrProvinceName=SomeState/countryName=US
| Not valid before: 2013-07-17 07:49:02
|_Not valid after: 2023-07-15 07:49:02
3306/tcp open mysql MySQL 5.5.32-MariaDB-1~wheezy-log
| mysql-info: Protocol: 10
| Version: 5.5.32-MariaDB-1~wheezy-log
| Thread ID: 5628
| Some Capabilities: Long Passwords, Connect with DB, Compress, ODBC, Transactions, Secure Connection
| Status: Autocommit
|_Salt: Yt[I>;LL
5000/tcp open http Werkzeug httpd 0.9.1 (Python 2.7.3)
|_http-title: Blog - Page 1 - Ashley's homepage
5222/tcp open jabber Prosody Jabber client
| ssl-cert: Subject: commonName=d1stkfactory
| Not valid before: 2013-05-03 18:25:53
|_Not valid after: 2023-05-01 18:25:53
| xmpp-info:
| XMPP
| Lang
| en
| v1.0
| features
| TLS (before TLS stream)
| AUTH MECHANISMS (4)
| SCRAM-SHA-1
| DIGEST-MD5
| Non-SASL (in TLS stream)
| PLAIN (in TLS stream)
|_ Respects server name
5269/tcp open jabber Prosody Jabber client
| xmpp-info:
| XMPP
| v1.0
| features
| Server Dialback
| TLS (before TLS stream)
|_ Respects server name
| ssl-cert: Subject: commonName=d1stkfactory
| Not valid before: 2013-05-03 18:25:53
|_Not valid after: 2023-05-01 18:25:53
Service Info: Host: irth.pl; OS: Linux; CPE: cpe:/o:linux:kernel
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 175.24 secondsВ общем, помогите выяснить что это такое, походу я не понимаю что происходит.
