Re: SMTP Probe/Attack?

From: Patrick Andry (pandryat_private)
Date: Mon Mar 11 2002 - 08:32:13 PST
Next message: Ryan Russell: "RE: Port UDP 3049"
Previous message: Paulo.Sedrezat_private: "RE: Port UDP 3049"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
The bad IP address in the to field and the long data string make it look 
like a DOS attempt.  Maybe someone trying to shut down your mail server. 
  I wouldn't rule out a remote exploit, but I've never seen anything 
like that either.

J.Francois wrote:

> I haven't seen anything like this before.
> I can't be sure if it is an attack on the MTA or a relay attempt.
> 
> =================LOGS===============
> Mar  2 11:05:57 justice postfix/smtpd[681]: connect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:05:58 justice postfix/smtpd[681]: 766535D091: client=adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:06:03 justice postfix/smtpd[681]: reject: RCPT from adsl-62888.turboline.skynet.be[217.136.117.168]: 501 <__ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ__>: Helo command rejected: Invalid name; from=<217.136.117.168> to=<256.214.211.211>
> Mar  2 11:10:21 justice postfix/smtpd[681]: lost connection after DATA from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:10:21 justice postfix/smtpd[681]: disconnect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:10:22 justice postfix/smtpd[681]: connect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:10:23 justice postfix/smtpd[681]: 8FFA75D091: client=adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:10:23 justice postfix/smtpd[681]: reject: RCPT from adsl-62888.turboline.skynet.be[217.136.117.168]: 501 <__ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ__>: Helo command rejected: Invalid name; from=<moi> to=<256.214.211.211>
> Mar  2 11:10:52 justice postfix/smtpd[681]: lost connection after DATA from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:10:52 justice postfix/smtpd[681]: disconnect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:11:14 justice postfix/smtpd[799]: connect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:11:15 justice postfix/smtpd[799]: 68BE95D093: client=adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:11:16 justice postfix/smtpd[799]: reject: RCPT from adsl-62888.turboline.skynet.be[217.136.117.168]: 501 <__ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ__>: Helo command rejected: Invalid name; from=<moi> to=<bo>
> Mar  2 11:11:45 justice postfix/smtpd[799]: lost connection after DATA from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:11:45 justice postfix/smtpd[799]: disconnect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:13:30 justice postfix/smtpd[806]: connect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:13:31 justice postfix/smtpd[806]: 6B98A5D091: client=adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:13:31 justice postfix/smtpd[806]: reject: RCPT from adsl-62888.turboline.skynet.be[217.136.117.168]: 501 <__ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ__>: Helo command rejected: Invalid name; from=<pete007at_private> to=<pete5600at_private>
> Mar  2 11:15:46 justice postfix/smtpd[806]: lost connection after DATA from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:15:46 justice postfix/smtpd[806]: disconnect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:21:23 justice postfix/smtpd[956]: connect from adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:21:26 justice postfix/smtpd[956]: D62225D091: client=adsl-62888.turboline.skynet.be[217.136.117.168]
> Mar  2 11:21:28 justice postfix/smtpd[956]: reject: RCPT from adsl-62888.turboline.skynet.be[217.136.117.168]: 501 <__ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ____ZZZZZZZZZZZZ__>: Helo command rejected: Invalid name; from=<pete007at_private> to=<pete5600at_private>
> =================LOGS===============
> 
> Jean Francois - JLF Sends...
> Facts - $35: http://www.winface.com/blurb.html
> Certs - $40: http://www.brainbench.com/transcript.jsp?pid=1214021
> Getting Published - Priceless: http://www.informit.com/authors/index.asp?authorid={6AD44647-E752-4CAB-B911-D3246F294DBA}
> 
> 
> ----------------------------------------------------------------------------
> This list is provided by the SecurityFocus ARIS analyzer service.
> For more information on this free incident handling, management 
> and tracking system please see: http://aris.securityfocus.com
> 



----------------------------------------------------------------------------
This list is provided by the SecurityFocus ARIS analyzer service.
For more information on this free incident handling, management 
and tracking system please see: http://aris.securityfocus.com
Next message: Ryan Russell: "RE: Port UDP 3049"
Previous message: Paulo.Sedrezat_private: "RE: Port UDP 3049"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
This archive was generated by hypermail 2b30 : Mon Mar 11 2002 - 10:58:59 PST