iT邦幫忙

0

被當廣告跳板,處理的方法?(懇請指教)

  • 分享至 

  • xImage

今天hinet寄來了通知公司被當廣告跳板的通知信件

敬啟者 您好:
近日HiNet陸續接獲客戶來信反應關於收到廣告信的問題,經由系統查測,這些信件是由台端申請連線時所發送的,煩請貴公司應儘速檢查如下建議:
(1)該機器(ip位置)有否發送廣告信,或
(2)有內部虛擬IP設備利用該機器(ip)發送廣告信,或
(3)系統有漏洞被他人植入木馬發送廣告信。
(4)若該IP有架設Proxy server,請將該proxy漏洞修補完成,

然後我也請中華將廣告信的紀錄寄給我
-----------------第一封-----------------
Received: from (ip) (ip.HINET-IP.hinet.net
by mtain-db01.r1000.mx.aol.com (Internet Inbound) with SMTP id 2E01638000094
for ; Sun, 6 Jan 2013 19:45:26 -0500 (EST)
Received: from unknown (HELO 97ii) ([226.111.205.147])
by (ip) with ESMTP; Mon, 7 Jan 2013 08:48:43 +0800
Message-ID:
From:
To:
Subject: Demonstrate your greatness to her
Date: Mon, 7 Jan 2013 08:39:48 +0800
MIME-Version: 1.0
Content-Type: text/plain;
f

這樣類似的信件有三封了......

環境是 外網→資安艦隊防火牆→分享器→公司各部門的pc

目前每台都已經掃過一次毒了
但覺得這樣還是不夠保險
請問有什麼方法可以抓出被當廣告跳板的電腦嗎?

(小弟這塊不太懂,懇請指教,跟中華詢問已經連發三天的廣告信了)

用你會用的方法

1.查Firewall Log SMTP Port 25,或是Firewall封掉非Mail Server的TCP Port 25查擋下來的Log
2.Switch Port Mirror Sniffer/Wireshark TCP port 25
3.安裝記錄器,例如Vigor SmartMonitor/IDR 設備,錄信件是那一台發出的
4.找專業的廠商處理

FYI 以下方法給你參考,並非百分之百適用你的環境
http://www.ublink.org/index.php/component/content/article/10-ubs-switch/285-ubs-5008-8port-switchport-mirrorwirsharksmtprelay.html

http://www.ublink.org/index.php/component/content/article/10-ubs-switch/245-ubs-5008-8-port-giga-switchport-mirrormail-serverrelay.html

http://www.ublink.org/index.php/component/content/article/13-apps/85-mail-god-relay-find.html
themomo12 iT邦新手 5 級 ‧ 2013-01-10 11:10:34 檢舉
謝謝您的幫忙!
Welcome
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
20
poemnite
iT邦研究生 2 級 ‧ 2013-01-10 11:28:08
最佳解答

看起來感覺是 open relay 造成的

可以先確認表頭的那個 IP 的 25 port 是不是打開的
最簡單的方式是 telnet (from (ip) (ip.HINET-IP.hinet.net) 25
看回應的是啥訊息, 大概就可以猜出是啥情況
如果有回應, 就可以查一下那個 IP 的 25 port 是 forward 到那一台主機
因為你們的 email server 既然是委外,
理論上是不需要有任何主機的 25 port 是要打開的

如果不是 open relay
就在 LAN 進行一次 port scan, 看那些電腦的 25 port 是有回應的
再一台一台電腦去看看吧
免費的 port scanner 網路上一堆
google 一下就有了, 例如: http://freesoft.tw/?p=742

個人是猜 open relay 的可能性比較高
因為那 email 看起來是賣藥的...

hon2006 iT邦大師 1 級 ‧ 2013-01-10 15:25:06 檢舉
14
Blue Jacky
iT邦大師 1 級 ‧ 2013-01-10 09:22:12

請先確認內部是否有郵件伺服器?

若有
則要求所有人立即變更密碼為強式密碼(含英文大、小寫及數字共八碼以上)
並稽核近日信件寄送量偏高的使用者

若無
建議請專業廠商協助
因為那已經不是你們能力所及

themomo12 iT邦新手 5 級 ‧ 2013-01-10 10:56:46 檢舉

謝謝您的回答:

我們郵件伺服是委外的~
寄送量偏高的使用者要怎麼去看呢?

20
hon2006
iT邦大師 1 級 ‧ 2013-01-10 09:27:41

1.防火牆先封鎖內對外的smtp port,再觀察紀錄檔.
2.掃惡意程式軟體 http://www.malwarebytes.org/
3.使用指令查每一台電腦 http://support.microsoft.com/kb/282497/en-us?fr=1

themomo12 iT邦新手 5 級 ‧ 2013-01-10 10:58:59 檢舉

謝謝您的回覆~

12
newkevin
iT邦高手 1 級 ‧ 2013-01-10 12:38:11

依據上面處理完後
呵呵 打去假裝要買藥
順便套說他跟哪家發
還是自己發電子報
最後問法律顧問 怎樣處理
說不定 律師 公司 都有賺頭
然後在 嚴肅建議 公司有漏洞 及 個資法
弄個經費 下來玩玩 這樣應該 或許被公司重視
哈哈

themomo12 iT邦新手 5 級 ‧ 2013-01-14 08:30:00 檢舉

英文我不太行阿~謝謝您的意見

10
jason1966
iT邦新手 1 級 ‧ 2013-01-11 17:10:42

只有提到郵件委外,但是沒有講主機是在廠商那邊還是在公司內部

提供的資訊不足,有兩種可能
一 公司有架設 郵件主機
1 郵件主機的轉發郵件設定不正確,導致有外人可以經由貴公司主機發送郵件.
檢查設定,檢查郵件主機收送紀錄。找出問題,並改進
2 郵件系統的帳號密碼被猜到,導致外人經由認證後發出郵件
要求使用者定期變更密碼
二 公司沒有郵件主機
公司內有電腦中毒、被遙控、被當跳板。
從網路封包下手,找出對外發送電子郵件的主機IP

themomo12 iT邦新手 5 級 ‧ 2013-01-14 08:30:19 檢舉

謝謝您的意見提供!

我要發表回答

立即登入回答