iT邦幫忙

0

被 hinet 警告,說我的 server ip 一直在發廣告信,過三天要停權,怎麼查呢?

darkwu 2010-01-04 12:52:4724839 瀏覽

今天被 hinet 警告,說我的 server ip 一直在發廣告信,過三天要停權 25 port ,怎麼查呢? 我要怎麼知道我的 server 真的一直在發信?

agonn iT邦新手 5 級 ‧ 2010-01-06 08:44:23 檢舉
我不知很多艱難的辦法解決
但我一向用比較安全的方式收發信
1*不用outolock-因為不會用.且毒喜歡找它麻煩.(用冷門的netscape
2*不在通訊路裡留資料.免得毒找它去發信
(另用excel建個檔.把連絡人的e-妹兒鍵在表格內..神奇.它會自建連結預設的
郵件軟體(當然預設也不要用outolock....
3*沒了...參考看看..老人家我用了10 幾年.沒出過您這問題...
64
infobox
iT邦新手 1 級 ‧ 2010-01-04 13:38:29
最佳解答

冷靜~冷靜~冷靜~冷靜~冷…………靜~ 我們自己也碰過這種事,因為一台主機裏開了很多帳號,一不小心帳號被盜用,駭客其實也不需要太高深的技術,光是用 outlook express 就能把mail server 當跳板了!

先判斷 mail server 的 queue 信狀態:

如何得知自己的 server 仍然一直在發信?

先到「郵件伺服器\儲列管理」 看看儲列信件是否很多 (如果畫面停了很久無法顯示,那就表示有上千或上萬封信),

在這裏要說明一下,假設我用 outlook 送出一封信,但是收件人有一百個不同的email,對 mail server 來說,就相當於送出一百封信,如果我寫了第二封信,收件人也是100人,對 server 來說,就相當於寄出了 200封信件的量,雖然我只寄出兩封!! 所以,queue 信就是有 200 封信。

如果駭客利用 outlook 之類的軟體,連續寫了 100 封信,每一封信都含了300個收件人,並且在 smtp 主機的欄位填入了貴公司的mail server 主機名或ip,outlook 中的 伺服器smtp 驗證的帳號密碼也都是你的mail server 內的正確帳號密碼,對 mail server 來說,就會產生 3000 封 queue 信,但是 queue 信會一直送出去,所以在「郵件伺服器\儲列管理」區不一定會看得到 3000封,只有那些送出後不成功的信,才會被server 給 q 住,並等待重新發送。

確定queue信真的太多信,第一步,就是到「郵件伺器 \ 基本設定」右下角,按下「清除儲列」,把上萬封的 q 信先刪了!! 其他的說明在網站裏之前就有寫到,趕快去再詳細看一遍,因為自己發生過後,再去看就會更有感覺了
http://www.infobox.com.tw/new/2009-09-04-15-16-40/40--infobox-isp-.html

darkwu iT邦新手 4 級 ‧ 2010-01-04 14:53:54 檢舉

感謝您快速的回覆! 果然如您站上的圖示所寫的,q 了上萬封信,難怪早上感覺 server的硬碟燈號閃得特別快,幾乎是恆亮的!! 原來是 q 信一直在發送,而且我設定每個30秒重送一次,等於說上一次的重送還未結束,又開始重送,1萬多封q信的收件人根本不存在,信就一直 q 信,一直重發,hdd 一直狂轉。我把被盜用的帳號改了密碼後,再把所有的 q 信一次刪除,就回復正常了,真是太感謝了! 不然 hinet 一直要我們解決,急死人了!

fireflybug iT邦研究生 5 級 ‧ 2010-01-05 10:50:54 檢舉

廠商的回復真快!!!不錯不錯不錯!!!

anefa iT邦研究生 4 級 ‧ 2010-01-05 14:21:46 檢舉

真是實用有效的方法,感謝

14
sniperegg
iT邦新手 2 級 ‧ 2010-01-04 13:36:45

公司有Mail server嗎?先檢查server有無開Relay?

若確定Mail server正常,那就是user中毒了,建議全公司掃瞄一次。

18
sbee727
iT邦新手 2 級 ‧ 2010-01-04 14:51:30

前幾天我公司也接到hinet打電話來說,我公司的流量異常,因為一分鐘裡同一個ip寄信近300封,都寄到相同的e-mail,起初以為是中木馬或是病毒,後來整個公司的電腦掃毒過一次,也針對幾台電腦流量異常做完整性的掃毒跟掃木馬,發現都均無重大異常,這時才想起來,有在ip分享器的防火牆做過設定,會將異常狀況,作e-mail回報,所以我們趕緊將這個選項取消,並回報中華電信,才解除警報,......提供一個查詢方法

10
tsaiyunan
iT邦新手 4 級 ‧ 2010-01-05 11:26:09

這種問題也未免太簡單了, 我們從沒有這樣問題!!
寄信主機的IP, 我從不跟其他內部電腦與其他主機相同, NAT出去一定都使用不同的IP,懶惰的人或差的網路設備,才會都NAT成相同IP!!
而且對外的SMTP服務也不可隨便開放,基本上我也都僅開放給寄信主機而已,其他主機與電腦對外的SMTP服務是不可以開放的!!

看更多先前的回應...收起先前的回應...
samwu iT邦新手 5 級 ‧ 2010-01-05 12:16:39 檢舉

我怎麼覺得你的回答讓人感覺好像大家都比你笨!!

事實上,以小弟個人曾經上過班的公司有三家以上,每一家的 mail server 設定和需求都不一樣,您說的方法固然能解決問題,但並非所有公司都能使用您說的方式,簡單來說,smtp 開放外部驗證relay 若不開,我老闆人在公司外面,沒有固定ip,那照你說的smtp不要對外開放,則老闆的 outlook 就不能進公司的 mail server 發信,只能用 webmail 或 vpn ,但是老闆又不想那麼麻煩(我們當mis的又能怎麼樣呢!)

所以您提供的方式只適用某一種user能夠全盤掌控的狀態,回答問題非但未針對提問者的需求來解答,只提供自己的使用方式,這其實不見得能適合每一家企業的需求哦!

berylfun iT邦新手 5 級 ‧ 2010-01-07 11:58:03 檢舉

正所謂整瓶醋不響,半瓶醋響叮噹!! IT 界真的有很多高手,但是也有很多「自認」是高手。小學或國中的時候好像有教過~ 滿招損,謙受益! 真正的高手其實是那些真正懂得謙虛的人。

julie8tw iT邦研究生 4 級 ‧ 2010-05-31 16:29:42 檢舉

話別說太滿,被當跳跟是否設同IP一點關係都沒得! SMTP不開當然是最簡單的
可是每家環境不通哪有這麼好事的是阿!

對阿何必捏術業有專攻,你會的別人不一定會,你不會的一定有人會,人外有人~~別太自以為是

8
goodnight
iT邦研究生 4 級 ‧ 2010-01-05 14:26:34

先開啟區域連線的『連線在連線後再通知區域內連線顯示』
看看有沒有一直閃
或是去檢查 hub 哪個燈號一直閃

10
erinfo
iT邦新手 5 級 ‧ 2010-01-05 16:42:38

我們公司前二週才被Hinet停權,處理的方式:
1.先將公司內所有防毒軟體更新病毒碼,然後所有PC和Server進行完整掃毒。
2.刪除佇列裡的信件。
3.檢查Mail Server的使用者帳號,刪除無人使用的帳號,再將現有的帳號作密碼變更。
4.將Server的SMTP服務重新啟動或是重新開機。

8
alittlefox
iT邦新手 5 級 ‧ 2010-01-05 16:57:34

最警急

  1. check 佇列沒用全部清空,清查全公司 Client & Server是否中毒
  2. check mail server log,找出問題點 修補hot fix
    次警急
  3. check 使用者帳號與密碼 設定rule 將太簡單的密碼全部修改

我要發表回答

立即登入回答