[Précédent (date)] [Suivant (date)] [Précédent (sujet)] [Suivant (sujet)] [Index par date] [Index par sujet]

POST sur SMTP



(comme ma question n'est pas spécifique à GNU/Linux, je poste sur
general plutôt que aide)

J'ai remarqué un pattern étrange dans les logs d'un serveur mail:


SMTP connection from [66.28.236.92]:49913 (TCP/IP connection count = 8)
SMTP connection from (ppdynlj) [66.28.236.92]:49913 lost
SMTP connection from [202.54.30.58]:8775 (TCP/IP connection count = 8)
SMTP syntax error in "POST / HTTP/1.0" H=[202.54.30.58]:8775
unrecognized command
SMTP syntax error in "Content-type: application/x-www-form-urlencoded"
H=[202.54.30.58]:8775 unrecognized command
SMTP syntax error in "Content-length: 3204" H=[202.54.30.58]:8775
unrecognized command
SMTP syntax error in "Connection: keep-alive" H=[202.54.30.58]:8775
unrecognized command
SMTP syntax error in "Via: 1.0 cache" H=[202.54.30.58]:8775 unrecognized
command
SMTP syntax error in "X-Forwarded-For: 66.28.236.92"
H=[202.54.30.58]:8775 unrecognized command
SMTP call from [202.54.30.58]:8775 dropped: too many unrecognized
commands


En gros, l'hôte A se connecte brièvement, puis l'hôte B tente de faire
une requête HTTP en spécifiant que cette requête était pour l'hôte A.

Ce qui est étrange est la relation entre les deux connexions. De plus,
pourquoi est-ce qu'un hôte voudrait faire une requête sur le port 25 de
mon serveur?

Ce n'est pas la première fois que j'observe ceci. En effet, dans les
derniers jours, 64.56.106.234 et 200.35.83.201 ont également fait un
POST.

Il s'agit peut-être d'un genre de worm, mais est-ce que quelqu'un sait
exactement ce dont il s'agit?

Nicolas

Attachment: signature.asc
Description: This is a digitally signed message part