以下是被列黑名單的原因
This IP address is infected with, or is NATting for a machine infected with Pushdo. Pushdo is a DDOS trojan - meaning that it was (at least of the timestamp given above) participating in a HTTP-based (web protocol) distributed denial of service attack on web server[s].
Pushdo is usually associated with the Cutwail spam trojan, as part of a Zeus or Spyeye botnet. Together, this provides the attacker with DDOS, email spam, and information theft capabilities. This is something you really want to get rid of. But remember, we detected this specifically by the DDOS traffic to a web server.
====================================
查看郵件主機,並無異常,流量也都很正常,除了在1個半月前,某一使用者密碼被猜中,導致發信異常外(當天排除,故暫時排除此原因)
查看防火牆log,近一個星期來,有明顯大量的外國ip一直在try我防火牆,換了一個IP,停了10多分鐘,又繼續try了(防火牆除了特定ip能進去外,其它通通禁止,也有擋所有ping),似乎不單純??
然道真的如CBL說的有使用者中了Pushdo木馬??
但查看內ip對外的情況...確看不出所以然來,沒有明顯大量連線或流量??
請問如果真的中了Pushdo,會有什麼特徵嗎!方便快速查到是誰??還是只能一台一台電腦去掃毒??
kobe8756提到:
Pushdo is a DDOS trojan - meaning that it was (at least of the timestamp given above) participating in a HTTP-based (web protocol) distribut...(恕刪)
你可能沒注意到他有寫
謝謝大大的回覆!!
就是因為他說我有DDOS類的木馬!看了一下log檔,感覺上沒有很明顯的異常連線或大量連線,又不知是連到那裡去?
看第一段,似乎是攻擊別人家的http,但又不可能把80port全擋!!
如果是垃圾郵件,基本上公司是25port全擋,只能用公司的mail server出去,但mail server也沒有異常發信的情況
訊息竊取的話??目前只在防火牆設定必要port通過,其它全擋,會有幫助嗎??
因為上面都是針對我防火牆去做設定,但來源端是誰造成的,我還是不知是誰??
目前我想到的就是先把所有的log抓下來,用excel排一排列一列,看能不能找到一點點訊息!!
或一台一台電腦去掃毒看看!!><
這時候你就知道防火牆若有優秀的報表能力
可以省下很多時間
你防火牆死不換也可以
看是用mirror port或L1 hub
放台電腦裝netflow之類的工具做防火牆網路流量分析