iT邦幫忙

0

公司被當跳板

chan15 2009-11-05 18:41:2925438 瀏覽

各位好,今天收到中華電信的Email
說有用戶發出收到垃圾信的狀況,IP證實是我們公司發出的
疑似被當跳板

公司網路配置
中華電信光世代
Vigor 2100 IP分享器(所有防禦功能都打開)
Wireless使用MAC位址認證
PX X 7
NB X 3

Windows 2003 x 1
Windows XP x 6
Windows Vista x 2
Windows 7 x 1

全部機器安裝Avast防毒軟體,沒有任何SMTP功能以及沒有安裝任何Email Service軟體
25 Port都沒有開放。

明天中華電信會把對方收到的內容forward給我們,不知道該如何查證比較好

amigoccs iT邦研究生 4 級 ‧ 2010-01-15 09:39:59 檢舉
Hi,

問題解決了嗎?看來是走 Web Mail,不是一般 Mail Server,Port 25/80不同喔!

Amigo
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
24
jonesyslee
iT邦新手 3 級 ‧ 2009-11-06 08:12:08
最佳解答

我的建議如下

  1. 先去以下網站 http://www.dnsbl.info/index.php 檢查是否已被加入國際黑名單。
  2. 去卡巴斯基網站 http://www.kaspersky.com.tw 下載最新的掃毒軟體(30天試用,免費更新到最新病毒碼),把網內所有電腦都掃毒一遍
  3. SERVER 端先將 GATEWAY 關掉,以免是由SERVER送出的,但若你有SERVER端的防毒軟體,也請打開掃描。
  4. V2100的Dos功能是防止外部攻擊,並非防內部對外攻擊
  5. 全部掃完後,再向 HINET 申訴,幫忙申請剔除在黑名單外
  6. AVAST 掃毒防駭功能比較弱一點,建議換一個防毒軟體

希望對你有幫助

18
cafebug
iT邦高手 1 級 ‧ 2009-11-05 19:12:25
  1. 建議收到Hinet的"證據"再加以研判mail header
  2. 會不會有user的PC中了Avast也掃不到的木馬之類的, 而從公司內部發出垃圾信(病毒信).
18
murphy0720
iT邦新手 1 級 ‧ 2009-11-05 20:59:20

AVAST 已經不夠強大了 建議更換其他較為強大的防護程式...

AVAST僅能稱為 掃毒軟體了

20
cheng
iT邦好手 1 級 ‧ 2009-11-06 08:34:06

所謂當跳板不一定是MAIL遭到攻擊
有可能也是對外的服務被開啟80 PORT
建議有對外服務的SERVER,先使用netstat看看哪些對外連線
後續再看HINET提供的數據

20
sniperegg
iT邦新手 2 級 ‧ 2009-11-06 09:46:02

公司有Mail server嗎?
如果有,請先檢查是否被當成Mail Relay的Server。
如果沒有,最有可能就是某一台電腦中毒後,被值入木馬當成跳板發垃圾信。
個人經歷過後者,只能說一整個慘,公司IP還被列入RBL清單,造成信件都出不去。

chan15 iT邦新手 3 級 ‧ 2009-11-06 15:34:48 檢舉
sniperegg iT邦新手 2 級 ‧ 2009-11-06 16:58:13 檢舉

算是被列入黑名單,但這一家幾乎都把台灣的IP檔掉了,個人所待的公司ip也被這一家檔,但還沒有發生國外信寄不到的狀況。
比較大的就是spamcop,幾乎九成都是用這一家的名單。

18
jasonlin268
iT邦研究生 3 級 ‧ 2009-11-06 09:57:37

由中華電信提供的資料大致上可以判斷是否是由貴公司的哪一個外部IP發出的廣告信,
但是不一定能分析出是由哪一部內部PC所發出,
因此可能還需要從Vigor 2100 IP分享器的Firewall Log來觀察,
可以從Vigor 2100 IP分享器的設定網頁Firewall>>General Setup>>Log Flag加以適當設定,
再利用Telnet Terminal連進來觀察有哪一些IP有對外做大量smtp的傳送,
詳細設定方式請參考Vigor 2100 IP分享器的使用手冊。

16
557557
iT邦新手 4 級 ‧ 2009-11-08 20:31:15

Avast 這防毒到處都可以找到破解版
連主程式都會輕易被破解的東西 防毒能有什麼效果 我就覺得很好笑了~

chan15 iT邦新手 3 級 ‧ 2009-11-09 01:34:29 檢舉

我想您這麼說有失公平,本身軟體的防破能力跟掃毒能力我想是兩回事
卡巴司基跟NOD32也可以輕鬆找到key,我想可能沒有一套防毒可以符合你需求
有啦,我Server安裝的費爾斯托每次都要連回Server作驗證,這套可能難破點

我要發表回答

立即登入回答