一個完全無法相信的問題:Server被盜用《請大大幫忙注意看一下》

 
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server)
上一篇文章 :: 下一篇文章  
發表人 內容
luke999
六段
六段


註冊時間: 2002-08-27
文章: 143
來自: 中華民國

發表發表於: 星期六 五月 22, 2004 12:47 pm    文章標題: 一個完全無法相信的問題:Server被盜用《請大大幫忙注意看一下》 引言回覆

我使用「歷史紀錄統計器」
發現有很多是我沒有設定帳號的幽靈人物
「他們」有收發信件的紀錄

我曾經查過一個我沒有設定帳號的email address
他是來自亞太線上


PS.我早已經把所有不可以轉用我的mail server的功能都打開了
為何還是如此
真是心寒∼∼∼
_________________
AMD Barton 2500+
1024MB DDR 400
HD 200GB
ASUS A7V880
Hinet 2M/512 固3
Windows XP Profession SP2
RaidenMaild 1.9.0.10 file update 13
雷電DNSD 1.206 R2
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期六 五月 22, 2004 5:31 pm    文章標題: Re: 一個完全無法相信的問題:Server被盜用《請大大幫忙注意看一 引言回覆

luke999 寫到:
我使用「歷史紀錄統計器」
發現有很多是我沒有設定帳號的幽靈人物
「他們」有收發信件的紀錄

我曾經查過一個我沒有設定帳號的email address
他是來自亞太線上


PS.我早已經把所有不可以轉用我的mail server的功能都打開了
為何還是如此
真是心寒∼∼∼



我想不至於.
你若被盜用, 那你有發現你Server 上有被利用寄廣告信的大量寄信記錄嗎?


也麻煩把相關資料寄給我, 我需要這些:
相關日期的所有 log 檔(*.dtl, *.log, *.cmd)
設定檔 RaidenMAILD.ini
使用者檔 users.cfg

我盡量挑出證據讓你釋疑.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: [email protected]
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
luke999
六段
六段


註冊時間: 2002-08-27
文章: 143
來自: 中華民國

發表發表於: 星期日 五月 23, 2004 5:09 pm    文章標題: Re: 一個完全無法相信的問題:Server被盜用《請大大幫忙注意看一 引言回覆

Arnor 寫到:
luke999 寫到:
我使用「歷史紀錄統計器」
發現有很多是我沒有設定帳號的幽靈人物
「他們」有收發信件的紀錄

我曾經查過一個我沒有設定帳號的email address
他是來自亞太線上


PS.我早已經把所有不可以轉用我的mail server的功能都打開了
為何還是如此
真是心寒∼∼∼



我想不至於.
你若被盜用, 那你有發現你Server 上有被利用寄廣告信的大量寄信記錄嗎?


也麻煩把相關資料寄給我, 我需要這些:
相關日期的所有 log 檔(*.dtl, *.log, *.cmd)
設定檔 RaidenMAILD.ini
使用者檔 users.cfg

我盡量挑出證據讓你釋疑.



大大
給你這些東西當然沒問題
但我想理清一下
之前不是有幾位大大反應過
「技巧性」得可以避免Mail Server禁止∼∼來寄送信件
(好像我之前也有對此發問題)
http://www.raidenhttpd.com/jlbb/viewtopic.php?t=8044&highlight=

假使他使用不存在帳號寄送
「歷史紀錄統計」會有該紀錄?如果有∼會有「使用者」table關聯?

如果是這樣的話
此問題就不是問題了
_________________
AMD Barton 2500+
1024MB DDR 400
HD 200GB
ASUS A7V880
Hinet 2M/512 固3
Windows XP Profession SP2
RaidenMaild 1.9.0.10 file update 13
雷電DNSD 1.206 R2
回頂端
檢視會員個人資料 發送私人訊息
renjong
十段
十段


註冊時間: 2002-05-14
文章: 230
來自: 中華民國

發表發表於: 星期日 五月 23, 2004 7:12 pm    文章標題: 個人淺見.... 引言回覆

看過您的問題,順便爬一下以前的討論

個人淺見....

您的 User 群 裡面有人中毒...或中木馬......

或者...
您的 Mail Server 並不是獨立的"純"主機....(還兼您平常用的機器!)
=>您的機器中毒(或中木馬)了!


ps.別太相信防毒軟體(如果不是用合法的更別相信!)
_________________
=====================
雷電好用沒話說..........
我家用雷電,雷電在我家
=====================
延華6U機櫃機 PIII-1GHz 256MB
WinXP Pro (SP2+) & RaidenMaild 商業版 & ISAPI
[email protected]
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件 參觀發表人的個人網站 MSN Messenger
ufay
真迅帝
真迅帝


註冊時間: 2002-12-07
文章: 443
來自: 中華民國

發表發表於: 星期日 五月 23, 2004 7:37 pm    文章標題: Re: 個人淺見.... 引言回覆

renjong 寫到:
看過您的問題,順便爬一下以前的討論

個人淺見....

您的 User 群 裡面有人中毒...或中木馬......

或者...
您的 Mail Server 並不是獨立的"純"主機....(還兼您平常用的機器!)
=>您的機器中毒(或中木馬)了!


ps.別太相信防毒軟體(如果不是用合法的更別相信!)

我蠻認同renjong兄的說法
你的User有沒有中毒並不是你所能完全掌握的
我的Server中我從收發信的統計資料中也曾發現所謂的幽靈帳號
只不過收發的次數都在個位數
至少我個人認為
如果今天這個軟體真的有這樣的大Bug時
相信這問題在這版面早就吵翻天了
而且素大也不會完全的坐視不管的
所以我也覺得中毒所帶來的影響機率比較大
回頂端
檢視會員個人資料 發送私人訊息
luke999
六段
六段


註冊時間: 2002-08-27
文章: 143
來自: 中華民國

發表發表於: 星期一 五月 24, 2004 1:08 am    文章標題: Re: 個人淺見.... 引言回覆

renjong 寫到:
看過您的問題,順便爬一下以前的討論

個人淺見....

您的 User 群 裡面有人中毒...或中木馬......

或者...
您的 Mail Server 並不是獨立的"純"主機....(還兼您平常用的機器!)
=>您的機器中毒(或中木馬)了!


ps.別太相信防毒軟體(如果不是用合法的更別相信!)


大大你猜中了
這的確不是"純"主機

這下可完了
我一直看到某一個ip 195...........
想存取我的1026 port
如我擋下來∼∼我可能就上不了網路


會不會有一種可能
收信∼∼但使用者沒開
因為防毒程式或者raiden去開∼而中獎了呢?
_________________
AMD Barton 2500+
1024MB DDR 400
HD 200GB
ASUS A7V880
Hinet 2M/512 固3
Windows XP Profession SP2
RaidenMaild 1.9.0.10 file update 13
雷電DNSD 1.206 R2
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期一 五月 24, 2004 11:36 am    文章標題: 引言回覆

ok.
我來試著列一下有可能發生的情況及原因.

1. 因為你沒啟用檢查寄件者email 的選項, 故使用者可以用非這台mail server 的 email 來寄信.
造成結果: 就會有非你mail server 上的帳號的寄信記錄, 所以就會在統計時被記錄下來.

2. 你的這台server 有用 server relay (incoming mail) 到別台去(如NAVGW...etc)
造成結果: 從這台maild 去統計, 就會統計到該寄件人寄到NAVGW 的記錄, 所以也會有誤會. 應該要做統計的是在第二台maild 來統計.

3. 使用者若有中毒, 或本機有中毒
造成結果: 使用者可能會透過它的mail client 設定去寄信出去, 不故現在病毒大都內建SMTP sender, 所以這情況應該比較少. 再來一個是本機中毒, 這樣會造成本機會亂寄信出去, 不過這比較好從 log 查得出來.

4. 使用者的密碼外洩
造成結果: 同第一點, 若外洩, 壞人或許會就此利用此一帳號通過驗證然後
肆無忌憚的寄廣告信.

上面這些情況都有可能造成統計器上有不明的寄件人被記錄,
若你要看看這是不是真的被盜寄, 可以從它的量來分析. 量少那就應該不是,
量多就要注意. 從\log 去查出這email 的相關資料, 打開來看一看就知當時動作
為何, 我想應該蠻好釐清的.



--
題外話, 我有在統計器上做點修正, 為了讓統計後的資料準確性高點,
我也加上非帳號的資料不統計的部份, 我不曉得這樣會不會不好,
但至少統計完的報表會較有用些, 少了掺雜非帳號的記錄我想也會好看些.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: [email protected]
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
luke999
六段
六段


註冊時間: 2002-08-27
文章: 143
來自: 中華民國

發表發表於: 星期二 五月 25, 2004 10:04 am    文章標題: 引言回覆

Arnor 寫到:
ok.
我來試著列一下有可能發生的情況及原因.

1. 因為你沒啟用檢查寄件者email 的選項, 故使用者可以用非這台mail server 的 email 來寄信.
造成結果: 就會有非你mail server 上的帳號的寄信記錄, 所以就會在統計時被記錄下來.

2. 你的這台server 有用 server relay (incoming mail) 到別台去(如NAVGW...etc)
造成結果: 從這台maild 去統計, 就會統計到該寄件人寄到NAVGW 的記錄, 所以也會有誤會. 應該要做統計的是在第二台maild 來統計.

3. 使用者若有中毒, 或本機有中毒
造成結果: 使用者可能會透過它的mail client 設定去寄信出去, 不故現在病毒大都內建SMTP sender, 所以這情況應該比較少. 再來一個是本機中毒, 這樣會造成本機會亂寄信出去, 不過這比較好從 log 查得出來.

4. 使用者的密碼外洩
造成結果: 同第一點, 若外洩, 壞人或許會就此利用此一帳號通過驗證然後
肆無忌憚的寄廣告信.

上面這些情況都有可能造成統計器上有不明的寄件人被記錄,
若你要看看這是不是真的被盜寄, 可以從它的量來分析. 量少那就應該不是,
量多就要注意. 從\log 去查出這email 的相關資料, 打開來看一看就知當時動作
為何, 我想應該蠻好釐清的.



--
題外話, 我有在統計器上做點修正, 為了讓統計後的資料準確性高點,
我也加上非帳號的資料不統計的部份, 我不曉得這樣會不會不好,
但至少統計完的報表會較有用些, 少了掺雜非帳號的記錄我想也會好看些.


這樣好了
請大大「歷史紀錄器」將server的使用者帳號與非帳號分開
這樣應該對管理者比較明瞭
我看過log相關檔案
其實應該是SMTP的基本問題
有人利用SMTP來寄送Email
只假設帳號都只寄送一封信件而已

問題是
難道這SMTP協定目前都沒有改善?
_________________
AMD Barton 2500+
1024MB DDR 400
HD 200GB
ASUS A7V880
Hinet 2M/512 固3
Windows XP Profession SP2
RaidenMaild 1.9.0.10 file update 13
雷電DNSD 1.206 R2
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server) 所有的時間均為 台北時間 (GMT + 8 小時)
1頁(共1頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票


Powered by phpBB © 2001-2007 phpBB Group