iT邦幫忙

0

Exchange 2000 主機好像被放木馬了

  • 分享至 

  • xImage

我一台exchange 2000的郵件主機最近好像發瘋了
我有安裝Trend Micro ScanMail for Microsoft Exchange 8來過濾病毒及垃圾郵件
主機本身則是安裝Trend Micro OfficeScan (我一直覺得他是沒什麼用的防毒程式)
趨勢的ScanMail for Microsoft Exchange有一個"Real-time monitor"的頁面可以看到目前郵件的收發狀況
從"Real-time monitor"看到這個postmaster@domain.com.tw每一秒都在狂寄信,如下圖:

可是我的mail account裡根本沒有postmaster這個帳號
exchange主機的 C:\Program Files\Exchsrvr\Mailroot\vsi 1\Queue\裡的信有好幾千封大小約3K的郵件,如下圖:

我打開Queue\裡那些信來看都是主旨為"Re: Business Partnership offer"的垃圾廣告,如下圖:

這些信好像都寄不出去 , 因為到最後badmail\裡會產生一大堆檔
然後事件檢視器一下子就滿了,如下圖:

C:\Program Files\Exchsrvr\DCS01.log\下的log檔(單一個檔案)動不動就爆增到好幾GB

我SMTP的mail relay是設定必須經過驗證才可以寄信
我試過把網路線拔下 , 但是postmaster@domain.com.tw還是一直嘗試在發信
我用過重灌狂人網頁裡(http://briian.com/?p=201)的那幾套分別掃過 也都沒掃到木馬

請問各位.....這是怎辦才好

魯大 iT邦高手 1 級 ‧ 2009-06-12 09:08:17 檢舉
會不會是因為收到不明信件
造成它一直在退信,可是又退不出去的狀況..
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

16
cooch
iT邦研究生 3 級 ‧ 2009-06-12 12:22:22
最佳解答

幾個步驟供參考:
1 先將 Queue 中的信件先清光.

2 待類似信件出現後,請交叉比對下列地方:
2.1 問題郵件本身的 Header 訊息,應可看出發信來源IP跟發信時間等資訊!
2.2 Trend Micro ScanMail 上應該有問題信件相關寄信或送信紀錄!

3 調整強化 exchange 及 Trend Micro ScanMail 相關 SPAM 機制,

您的其他疑問:
1 忘了 postmaster@domain.com.tw 這個郵件位址,
通常是假冒的,所以從此郵件位址應該查不出什麼名堂!
2 已您的問題看來,
比較不像是郵件主機本身中毒的樣子!
建議先就上述建議步驟 Step by Stpe 做一次,
應該可以找到問題所在!

glennlin iT邦研究生 4 級 ‧ 2009-06-12 15:50:07 檢舉

scanmail當中可以設定刪除這種寄件者為空白的信件
但是這種信那麼多,大致上可能是有某台電腦中毒造成
或是主機遭到跳板式寄信的攻擊

可以先把主機上允許轉信的ip做限制
只允許內部相關ip轉寄信件
如果設定完後還是一樣的話,那就要檢查信件的來源
再到那個來源的電腦上去檢查是否有中病毒或木馬

0
不明

被當跳板了...

我要發表回答

立即登入回答