Mail 被攻擊, 造成當機!?

shihfeng · 一級 註冊時間: 2009-12-14 文章: 2

請問最近我 Mail Server log 一直出現

2009/12/07:23:59:58 SMTP 192.168.1.2 EHLO mailserver
2009/12/07:23:59:58 SMTP 192.168.1.2 RSET
2009/12/07:23:59:58 SMTP 192.168.1.2 MAIL FROM:<admin>
2009/12/07:23:59:58 SMTP 192.168.1.2 RCPT TO:<jnijugr>
2009/12/07:23:59:58 SMTP 192.168.1.2 DATA
2009/12/07:23:59:58 SMTP 192.168.1.2 EHLO mailserver
2009/12/07:23:59:58 SMTP 192.168.1.2 RSET
2009/12/07:23:59:58 SMTP 192.168.1.2 MAIL FROM:<admin>
2009/12/07:23:59:58 SMTP 192.168.1.2 RCPT TO:<jnijugr>
2009/12/07:23:59:58 SMTP 192.168.1.2 DATA
2009/12/07:23:59:58 SMTP 192.168.1.2 EHLO mailserver
2009/12/07:23:59:58 SMTP 192.168.1.2 RSET
2009/12/07:23:59:58 SMTP 192.168.1.2 MAIL FROM:<admin>
2009/12/07:23:59:58 SMTP 192.168.1.2 RCPT TO:<jnijugr>
2009/12/07:23:59:58 SMTP 192.168.1.2 DATA

2009/12/7 下午 11:59:58] [2448] SMTP 服務接受從 192.168.1.2 來的連線
[2009/12/7 下午 11:59:58] [SYSTEM] 重新傳送郵件從 jnijugr@hinet.net 到 blogpost5alin4143@yahoo.cn(203.209.250.248) 失敗 (After 554 delivery error: dd This user doesn't have a yahoo.cn account (blogpost5alin4143@yahoo.cn) [0] - mta103.mail.cnh.yahoo.com)
[2009/12/7 下午 11:59:58] [592] 192.168.1.2 要求 SMTP 服務 - 寄信人是 admin@xxx.com.tw
[2009/12/7 下午 11:59:58] [SYSTEM] 重新傳送郵件從 jnijugr@hinet.net 到 medco@medco.com.cn(222.73.108.35) 失敗 (452 Sender was rejected: jnijugr@hinet.net)
[2009/12/7 下午 11:59:58] [2904] SMTP 服務接受從 192.168.1.2 來的連線
[2009/12/7 下午 11:59:58] [2904] 192.168.1.2 要求 SMTP 服務 - 寄信人是 admin@xxx.com.tw
[2009/12/7 下午 11:59:58] [2448] 192.168.1.2 要求 SMTP 服務 - 寄信人是 admin@xxx.com.tw
[2009/12/7 下午 11:59:58] [2756] SMTP 服務接受從 192.168.1.2 來的連線
[2009/12/7 下午 11:59:58] [SYSTEM] 重新傳送郵件從 jnijugr@hinet.net 到 zhgp@cbminfo.com(mail.cbminfo.com) 失敗 (Connection Closed Gracefully.)
[2009/12/7 下午 11:59:58] [3400] SMTP 服務接受從 192.168.1.2 來的連線
[2009/12/7 下午 11:59:58] [3400] 192.168.1.2 要求 SMTP 服務 - 寄信人是 admin@xxx.com.tw
[2009/12/7 下午 11:59:58] [2756] 192.168.1.2 要求 SMTP 服務 - 寄信人是 admin@xxx.com.tw
[2009/12/7 下午 11:59:58] [2620] 傳送郵件從 admin@xxx.com.tw 到 jnijugr@hinet.net(168.95.195.16) 失敗 (421 Too many SMTP sessions for this host)[2]
[2009/12/7 下午 11:59:58] [2876] 傳送郵件從 admin@xxx.com.tw 到 jnijugr@hinet.net(168.95.195.16) 失敗 (421 Too many SMTP sessions for this host)[2]
[2009/12/7 下午 11:59:58] [SYSTEM] 重新傳送郵件從 admin@xxx.com.tw 到 jnijugr@hinet.net(168.95.195.16) 失敗 (421 Too many SMTP sessions for this host)
[2009/12/7 下午 11:59:58] [SYSTEM] 重新傳送郵件從 jnijugr@hinet.net 到 fmsc-daisycao@flecon.sg.com(flecon.sg.com) 失敗 (Socket Error # 10061 Connection refused.)
[2009/12/7 下午 11:59:58] [2452] SMTP 服務接受從 192.168.1.2 來的連線
[2009/12/7 下午 11:59:58] [2452] 192.168.1.2 要求 SMTP 服務 - 寄信人是 admin@xxx.com.tw
[2009/12/7 下午 11:59:58] [SYSTEM] 重新傳送郵件從 jnijugr@hinet.net 到 jrjd68435889@yahoo.com.cn(203.209.228.230) 失敗 (451 Message temporarily deferred - [70])
[2009/12/7 下午 11:59:58] [592] 192.168.1.2 - 郵件內容已收到 (To:jnijugr@hinet.net) 1686 bytes ( 4.9 KB/s)
[2009/12/7 下午 11:59:58] [592] SMTP 服務中斷從 192.168.1.2 來的連線
[2009/12/7 下午 11:59:58] [SYSTEM] 回覆寄信無效的訊息到 jnijugr@hinet.net 成功

我也有設定smtp auth , 192.168.1.2 是我mail server 本身的IP , admin@xxx.com.tw 是我設定錯誤回覆的信箱 , 同一秒都有20幾個以上的訊息
到最後 Mail Server 就當了
請問這是什麼問題呢 , 可以如何防治阿?

TKS

Arnor · 發表於: 星期一十二月 14, 2009 10:23 pm 文章標題:

你的伺服器變成跳板了吧.
1. 請檢查設定
http://www.raidenmaild.com/tw/Help/tips.html
是否為 open relay 公開可轉寄的伺服器.

2. 檢查帳號密碼是否不夠嚴密, 比如 admin / admin, test / test 等與帳號相同的密碼. 你要提供 .dtl, .cmd 這兩種記錄檔才能找出是哪個帳密被利用.

3. 要進 \Outboxes 清光佇列信件. 但在你完成1,2 項之前, 並無法根治跳板問題.

4. 要找出第2 點是哪個帳號, 必須打開近幾日的 .dtl 記錄檔, 搜尋

寄信人是 jnijugr@hinet.net

找出事件發生的時間點再對照看 .cmd 記錄才能知道當下它用何帳號寄信.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

shihfeng · 一級 註冊時間: 2009-12-14 文章: 2

感謝你的回覆

我查到cmd 內容如下
2009/12/01:23:59:46 SMTP 124.193.73.80 EHLO cozbxnixc
2009/12/01:23:59:46 SMTP 124.193.73.80 AUTH LOGIN
2009/12/01:23:59:46 SMTP 124.193.73.80 d2Vi
2009/12/01:23:59:46 SMTP 192.168.1.1 EHLO mailserver
2009/12/01:23:59:46 SMTP 192.168.1.1 RSET
2009/12/01:23:59:46 SMTP 192.168.1.1 MAIL FROM:<admin>
2009/12/01:23:59:46 SMTP 192.168.1.1 RCPT TO:<jnijugr>
2009/12/01:23:59:46 SMTP 192.168.1.1 DATA
2009/12/01:23:59:47 SMTP 192.168.1.1 QUIT

d2vi 應該是編過碼的吧?! 所以是哪個user 呢?

Arnor · 發表於: 星期二十二月 15, 2009 12:40 pm 文章標題:

用 base64 解碼(maild 安裝後有附這個小軟體)

d2Vi -> basd64 解碼 -> web

因為你才給這一小段, 倘若你確定這段log 無誤, 就是寄方的記錄,
那麼表示對方就是利用這個帳號來寄信的
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/