今天hinet寄來了通知公司被當廣告跳板的通知信件
敬啟者 您好:
近日HiNet陸續接獲客戶來信反應關於收到廣告信的問題,經由系統查測,這些信件是由台端申請連線時所發送的,煩請貴公司應儘速檢查如下建議:
(1)該機器(ip位置)有否發送廣告信,或
(2)有內部虛擬IP設備利用該機器(ip)發送廣告信,或
(3)系統有漏洞被他人植入木馬發送廣告信。
(4)若該IP有架設Proxy server,請將該proxy漏洞修補完成,
這樣類似的信件有三封了......
環境是 外網→資安艦隊防火牆→分享器→公司各部門的pc
目前每台都已經掃過一次毒了
但覺得這樣還是不夠保險
請問有什麼方法可以抓出被當廣告跳板的電腦嗎?
(小弟這塊不太懂,懇請指教,跟中華詢問已經連發三天的廣告信了)
已邀請的邦友 {{ invite_list.length }}/5
看起來感覺是 open relay 造成的
可以先確認表頭的那個 IP 的 25 port 是不是打開的
最簡單的方式是 telnet (from (ip) (ip.HINET-IP.hinet.net) 25
看回應的是啥訊息, 大概就可以猜出是啥情況
如果有回應, 就可以查一下那個 IP 的 25 port 是 forward 到那一台主機
因為你們的 email server 既然是委外,
理論上是不需要有任何主機的 25 port 是要打開的
如果不是 open relay
就在 LAN 進行一次 port scan, 看那些電腦的 25 port 是有回應的
再一台一台電腦去看看吧
免費的 port scanner 網路上一堆
google 一下就有了, 例如: http://freesoft.tw/?p=742
個人是猜 open relay 的可能性比較高
因為那 email 看起來是賣藥的...
請先確認內部是否有郵件伺服器?
若有
則要求所有人立即變更密碼為強式密碼(含英文大、小寫及數字共八碼以上)
並稽核近日信件寄送量偏高的使用者
若無
建議請專業廠商協助
因為那已經不是你們能力所及
1.防火牆先封鎖內對外的smtp port,再觀察紀錄檔.
2.掃惡意程式軟體 http://www.malwarebytes.org/
3.使用指令查每一台電腦 http://support.microsoft.com/kb/282497/en-us?fr=1
依據上面處理完後
呵呵 打去假裝要買藥
順便套說他跟哪家發
還是自己發電子報
最後問法律顧問 怎樣處理
說不定 律師 公司 都有賺頭
然後在 嚴肅建議 公司有漏洞 及 個資法
弄個經費 下來玩玩 這樣應該 或許被公司重視
只有提到郵件委外,但是沒有講主機是在廠商那邊還是在公司內部
提供的資訊不足,有兩種可能
一 公司有架設 郵件主機
1 郵件主機的轉發郵件設定不正確,導致有外人可以經由貴公司主機發送郵件.
檢查設定,檢查郵件主機收送紀錄。找出問題,並改進
2 郵件系統的帳號密碼被猜到,導致外人經由認證後發出郵件
要求使用者定期變更密碼
二 公司沒有郵件主機
公司內有電腦中毒、被遙控、被當跳板。
從網路封包下手,找出對外發送電子郵件的主機IP
iThome鐵人賽
看影片追技術