遗留可能致命

发布时间：2025-08-03
最后更新：2025-08-03 20:13:54 UTC
作者：Johannes Ullrich（版本：1）
评论数：1条

刚刚发现了一个我以为早已消失的现象：用户名“pop3user”出现在我们的telnet/ssh日志中。我已经记不清上次使用POP3从邮件服务器收取邮件是什么时候了。IMAP和各种网页邮件系统早已取代了这一经典电子邮件协议。但至少这名攻击者指望还有人配置着“pop3user”账户。

尝试的密码是经典的“pop3user”和“123456”。扫描该用户名的唯一IP地址是193.32.162.157。该IP地址属于AS47890，由“Unmanaged”管理（这名字不是我编的……）。

路由：193.32.162.0/24
源：AS47890
维护者：UNMANAGED
维护者：ro-btel2-1-mnt
创建时间：2022-11-21T17:07:38Z
最后修改：2022-11-21T17:07:38Z
来源：RIPE

unmanaged.uk的网站是空白的，该网络可能确实无人管理……虽然我不喜欢封锁列表，但我会认为AS47890是封锁的一个好候选。

POP3仍在被使用（也许？），未管理的网络……为什么我们要浪费时间去担心0day漏洞？

Johannes B. Ullrich, Ph.D., SANS.edu研究院长
Twitter|

关键词：
1条评论