今天被 hinet 警告,說我的 server ip 一直在發廣告信,過三天要停權 25 port ,怎麼查呢? 我要怎麼知道我的 server 真的一直在發信?
冷靜~冷靜~冷靜~冷靜~冷…………靜~ 我們自己也碰過這種事,因為一台主機裏開了很多帳號,一不小心帳號被盜用,駭客其實也不需要太高深的技術,光是用 outlook express 就能把mail server 當跳板了!
先判斷 mail server 的 queue 信狀態:
如何得知自己的 server 仍然一直在發信?
先到「郵件伺服器\儲列管理」 看看儲列信件是否很多 (如果畫面停了很久無法顯示,那就表示有上千或上萬封信),
在這裏要說明一下,假設我用 outlook 送出一封信,但是收件人有一百個不同的email,對 mail server 來說,就相當於送出一百封信,如果我寫了第二封信,收件人也是100人,對 server 來說,就相當於寄出了 200封信件的量,雖然我只寄出兩封!! 所以,queue 信就是有 200 封信。
如果駭客利用 outlook 之類的軟體,連續寫了 100 封信,每一封信都含了300個收件人,並且在 smtp 主機的欄位填入了貴公司的mail server 主機名或ip,outlook 中的 伺服器smtp 驗證的帳號密碼也都是你的mail server 內的正確帳號密碼,對 mail server 來說,就會產生 3000 封 queue 信,但是 queue 信會一直送出去,所以在「郵件伺服器\儲列管理」區不一定會看得到 3000封,只有那些送出後不成功的信,才會被server 給 q 住,並等待重新發送。
確定queue信真的太多信,第一步,就是到「郵件伺器 \ 基本設定」右下角,按下「清除儲列」,把上萬封的 q 信先刪了!! 其他的說明在網站裏之前就有寫到,趕快去再詳細看一遍,因為自己發生過後,再去看就會更有感覺了
http://www.infobox.com.tw/new/2009-09-04-15-16-40/40--infobox-isp-.html
公司有Mail server嗎?先檢查server有無開Relay?
若確定Mail server正常,那就是user中毒了,建議全公司掃瞄一次。
前幾天我公司也接到hinet打電話來說,我公司的流量異常,因為一分鐘裡同一個ip寄信近300封,都寄到相同的e-mail,起初以為是中木馬或是病毒,後來整個公司的電腦掃毒過一次,也針對幾台電腦流量異常做完整性的掃毒跟掃木馬,發現都均無重大異常,這時才想起來,有在ip分享器的防火牆做過設定,會將異常狀況,作e-mail回報,所以我們趕緊將這個選項取消,並回報中華電信,才解除警報,......提供一個查詢方法
這種問題也未免太簡單了, 我們從沒有這樣問題!!
寄信主機的IP, 我從不跟其他內部電腦與其他主機相同, NAT出去一定都使用不同的IP,懶惰的人或差的網路設備,才會都NAT成相同IP!!
而且對外的SMTP服務也不可隨便開放,基本上我也都僅開放給寄信主機而已,其他主機與電腦對外的SMTP服務是不可以開放的!!
我怎麼覺得你的回答讓人感覺好像大家都比你笨!!
事實上,以小弟個人曾經上過班的公司有三家以上,每一家的 mail server 設定和需求都不一樣,您說的方法固然能解決問題,但並非所有公司都能使用您說的方式,簡單來說,smtp 開放外部驗證relay 若不開,我老闆人在公司外面,沒有固定ip,那照你說的smtp不要對外開放,則老闆的 outlook 就不能進公司的 mail server 發信,只能用 webmail 或 vpn ,但是老闆又不想那麼麻煩(我們當mis的又能怎麼樣呢!)
所以您提供的方式只適用某一種user能夠全盤掌控的狀態,回答問題非但未針對提問者的需求來解答,只提供自己的使用方式,這其實不見得能適合每一家企業的需求哦!
先開啟區域連線的『連線在連線後再通知區域內連線顯示』
看看有沒有一直閃
或是去檢查 hub 哪個燈號一直閃
我們公司前二週才被Hinet停權,處理的方式:
1.先將公司內所有防毒軟體更新病毒碼,然後所有PC和Server進行完整掃毒。
2.刪除佇列裡的信件。
3.檢查Mail Server的使用者帳號,刪除無人使用的帳號,再將現有的帳號作密碼變更。
4.將Server的SMTP服務重新啟動或是重新開機。
最警急