PALMisLIFE 討論區

標題: Server被盜用?轉信? [列印本頁]
作者: Ryan19    時間: 2003-5-25 01:10
標題: Server被盜用?轉信?
大家好!!
今天在朋友的公司,遇到了一個情況,不知可有先進可提供建議??
希望也沒有背離這個版面的討論主旨
請況如下:
NT Server 4.0  Exchange5.5 (service pack 4.0)無防火牆
512/64 ADSL 頻寬被佔滿 ,DNS停止(記憶體資源不足)
IMS中Q了60多封的未寄信,發信者為 test@yahoo.com....等, 發至 yahoo.com;989888.com;excite.com......等
重灌了以上系統後,5分鐘上述情況再度發生
SMTP---Router功能已關閉,也限制了 Mail relay的網段
均無法解決....
可有朋友提供建議或經驗???
可有任何軟體可偵測背景程式活動???(for NT Server 4.0)
介紹一個有關的討論網站???
多謝!!
作者: parrot    時間: 2003-5-25 01:25
標題: Re:Server被盜用?轉信?
先前被當跳板吧....可以去國外的網站看看貴公司 ip 有沒有在黑名單之內
  
Parrot
作者: Ryan19    時間: 2003-5-25 01:32
標題: Re:Server被盜用?轉信?
哎呀!!!
版主Sorry!!!
剛才想到我應貼到網路區才對吧!!!
Sorry!!!!無心之過!!!
可否煩您大駕移動一下???
重複貼更不好!!是嗎??
多謝!!!順便謝Parrot!!感謝快速回應!!!
作者: Jonry    時間: 2003-5-25 10:41
標題: Re:Server被盜用?轉信?
1. 中毒
2. Hotfix 沒下
3. 試試 BlackICE 或 ZoneAlerm , 看看是不是被 Hacker 入侵或被病毒攻擊.
4. 在mail server前端架 Gateway, 比如 Trend 的 InterScan 或 Symantec 的 AntiVirus SMTP Gateway (後者可以檔 relay)
作者: 小酒蟲    時間: 2003-5-25 10:46
標題: Re:Server被盜用?轉信?
被列入黑名單的可能性較高。
不過 mail server 竟然任意接受外來 relay,這網管也太混了。
作者: Jonry    時間: 2003-5-25 10:47
標題: Re:Server被盜用?轉信?
補充, 裝點Anti-Trojan的程式, 看看是不是被種木馬開後門了...
作者: Jonry    時間: 2003-5-25 10:55
標題: 回覆: Re:Server被盜用?轉信?
小酒蟲 wrote:
不過 mail server 竟然任意接受外來 relay,這網管也太混了。
不經一事, 不長一智; 不受點教訓, 不曉得 Internet 的黑暗面 ...
作者: parrot    時間: 2003-5-25 11:25
標題: Re:Server被盜用?轉信?
先裝裝修正檔案吧, 才安裝到 NT Service Pack 4.0 , 表示很久沒更新
很勇敢阿, 沒有用防火牆
  
Parrot
作者: Jonry    時間: 2003-5-25 11:45
標題: Re:Server被盜用?轉信?
這點我倒沒注意, 只到 SP4 ? 真的很敢....  
  
看來是根本還沒裝 Exchange 就已經中標了, 這實在要不得 !!
  
To Ryan19:  
建議你再把 Server 重灌, 但是要在沒插網路線的狀態下重灌; 先找好 Service Pack 6a, 把 NT4 和 SP6a 裝好後, 再裝 Option Pack; 再來把 IIS 停用, 插回網路線, 去做 Windowsupdate,
等所有的 update 都做好後, 啟用 IIS, 再灌 Exchange ....
作者: Ryan19    時間: 2003-5-25 12:10
標題: 回覆: Re:Server被盜用?轉信?
Jonry wrote:
這點我倒沒注意, 只到 SP4 ? 真的很敢....  
  
看來是根本還沒裝 Exchange 就已經中標了, 這實在要不得 !!
  
To Ryan19:  
建議你再把 Server 重灌, 但是要在沒插網路線的狀態下重灌; 先找好 Service Pack 6a, 把 NT4 和 SP6a 裝好後, 再裝 Option Pack; 再來把 IIS 停用, 插回網路線, 去做 Windowsupdate,
等所有的 update 都做好後, 啟用 IIS, 再灌 Exchange ....

  
多謝!!!會依上述再做一次!
Anti-Trojan 可以先裝找出後門程式嗎??
曾在服務中看到 VNC,應是被入侵
作者: parrot    時間: 2003-5-25 12:36
標題: Re:Server被盜用?轉信?
用 Personal Firewall 試試看, 抓出有異常對外的 Port Connection  
  
Parrot
作者: Jonry    時間: 2003-5-25 12:43
標題: 回覆: 回覆: Re:Server被盜用?轉信?
Ryan19 wrote:
Anti-Trojan 可以先裝找出後門程式嗎??
曾在服務中看到 VNC,應是被入侵
可以試試, 但是 Anti-Trojan 的程式絕對不是萬靈丹...
根本的解決之道, 是要把那些安全的漏洞先修補起來!!
作者: Ryan19    時間: 2003-5-25 12:57
標題: 回覆: 回覆: 回覆: Re:Server被盜用?轉信?
Jonry wrote:
[quote]Ryan19 wrote:
Anti-Trojan 可以先裝找出後門程式嗎??
曾在服務中看到 VNC,應是被入侵
可以試試, 但是 Anti-Trojan 的程式絕對不是萬靈丹...
根本的解決之道, 是要把那些安全的漏洞先修補起來!! [/quote]
  
謝謝!!
再請教一下,我已參照網上的一些討論
將 Mail relay的功能設定
SMTP---Router功能已關閉,也限制了 Mail relay的網段-限網域內
為何仍擋不下Relay ?
作者: Ryan19    時間: 2003-5-25 13:02
標題: 回覆: 回覆: Re:Server被盜用?轉信?
Jonry wrote:
[quote]小酒蟲 wrote:
不過 mail server 竟然任意接受外來 relay,這網管也太混了。
不經一事, 不長一智; 不受點教訓, 不曉得 Internet 的黑暗面 ... [/quote]
  
教訓的是!!!
因為是半路出家,被逼上梁山的
還是得多用點功呀!!!
多謝!!
作者: Jonry    時間: 2003-5-25 13:10
標題: 回覆: 回覆: 回覆: 回覆: Re:Server被盜用?轉信?
Ryan19 wrote:
再請教一下,我已參照網上的一些討論
將 Mail relay的功能設定
SMTP---Router功能已關閉,也限制了 Mail relay的網段-限網域內
為何仍擋不下Relay ?
也許不是 Exchange 在 relay 的喔...
我想可能是一些有 SMTP 機制的病毒, 直接把你的 Server 當跳板發信的。
檢查一下 Exchange 的 transection log, 看看是不是真的有 relay 的動作。



歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/) Powered by Discuz! X2.5