上一篇文章 :: 下一篇文章 |
發表人 |
內容 |
luke999 六段
註冊時間: 2002-08-27 文章: 143 來自: 中華民國
|
發表於: 星期六 五月 22, 2004 12:47 pm 文章標題: 一個完全無法相信的問題:Server被盜用《請大大幫忙注意看一下》 |
|
|
我使用「歷史紀錄統計器」
發現有很多是我沒有設定帳號的幽靈人物
「他們」有收發信件的紀錄
我曾經查過一個我沒有設定帳號的email address
他是來自亞太線上
PS.我早已經把所有不可以轉用我的mail server的功能都打開了
為何還是如此
真是心寒∼∼∼ _________________ AMD Barton 2500+
1024MB DDR 400
HD 200GB
ASUS A7V880
Hinet 2M/512 固3
Windows XP Profession SP2
RaidenMaild 1.9.0.10 file update 13
雷電DNSD 1.206 R2 |
|
回頂端 |
|
|
Arnor 究極の素還尊
註冊時間: 2001-11-07 文章: 13011 來自: TAIWAN
|
發表於: 星期六 五月 22, 2004 5:31 pm 文章標題: Re: 一個完全無法相信的問題:Server被盜用《請大大幫忙注意看一 |
|
|
luke999 寫到: | 我使用「歷史紀錄統計器」
發現有很多是我沒有設定帳號的幽靈人物
「他們」有收發信件的紀錄
我曾經查過一個我沒有設定帳號的email address
他是來自亞太線上
PS.我早已經把所有不可以轉用我的mail server的功能都打開了
為何還是如此
真是心寒∼∼∼ |
我想不至於.
你若被盜用, 那你有發現你Server 上有被利用寄廣告信的大量寄信記錄嗎?
也麻煩把相關資料寄給我, 我需要這些:
相關日期的所有 log 檔(*.dtl, *.log, *.cmd)
設定檔 RaidenMAILD.ini
使用者檔 users.cfg
我盡量挑出證據讓你釋疑. _________________ *若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: [email protected]
公司網站 http://www.raidenmaild.com/company/ |
|
回頂端 |
|
|
luke999 六段
註冊時間: 2002-08-27 文章: 143 來自: 中華民國
|
發表於: 星期日 五月 23, 2004 5:09 pm 文章標題: Re: 一個完全無法相信的問題:Server被盜用《請大大幫忙注意看一 |
|
|
Arnor 寫到: | luke999 寫到: | 我使用「歷史紀錄統計器」
發現有很多是我沒有設定帳號的幽靈人物
「他們」有收發信件的紀錄
我曾經查過一個我沒有設定帳號的email address
他是來自亞太線上
PS.我早已經把所有不可以轉用我的mail server的功能都打開了
為何還是如此
真是心寒∼∼∼ |
我想不至於.
你若被盜用, 那你有發現你Server 上有被利用寄廣告信的大量寄信記錄嗎?
也麻煩把相關資料寄給我, 我需要這些:
相關日期的所有 log 檔(*.dtl, *.log, *.cmd)
設定檔 RaidenMAILD.ini
使用者檔 users.cfg
我盡量挑出證據讓你釋疑. |
大大
給你這些東西當然沒問題
但我想理清一下
之前不是有幾位大大反應過
「技巧性」得可以避免Mail Server禁止∼∼來寄送信件
(好像我之前也有對此發問題)
http://www.raidenhttpd.com/jlbb/viewtopic.php?t=8044&highlight=
假使他使用不存在帳號寄送
「歷史紀錄統計」會有該紀錄?如果有∼會有「使用者」table關聯?
如果是這樣的話
此問題就不是問題了 _________________ AMD Barton 2500+
1024MB DDR 400
HD 200GB
ASUS A7V880
Hinet 2M/512 固3
Windows XP Profession SP2
RaidenMaild 1.9.0.10 file update 13
雷電DNSD 1.206 R2 |
|
回頂端 |
|
|
renjong 十段
註冊時間: 2002-05-14 文章: 230 來自: 中華民國
|
發表於: 星期日 五月 23, 2004 7:12 pm 文章標題: 個人淺見.... |
|
|
看過您的問題,順便爬一下以前的討論
個人淺見....
您的 User 群 裡面有人中毒...或中木馬......
或者...
您的 Mail Server 並不是獨立的"純"主機....(還兼您平常用的機器!)
=>您的機器中毒(或中木馬)了!
ps.別太相信防毒軟體(如果不是用合法的更別相信!) _________________ =====================
雷電好用沒話說..........
我家用雷電,雷電在我家
=====================
延華6U機櫃機 PIII-1GHz 256MB
WinXP Pro (SP2+) & RaidenMaild 商業版 & ISAPI
[email protected] |
|
回頂端 |
|
|
ufay 真迅帝
註冊時間: 2002-12-07 文章: 443 來自: 中華民國
|
發表於: 星期日 五月 23, 2004 7:37 pm 文章標題: Re: 個人淺見.... |
|
|
renjong 寫到: | 看過您的問題,順便爬一下以前的討論
個人淺見....
您的 User 群 裡面有人中毒...或中木馬......
或者...
您的 Mail Server 並不是獨立的"純"主機....(還兼您平常用的機器!)
=>您的機器中毒(或中木馬)了!
ps.別太相信防毒軟體(如果不是用合法的更別相信!) |
我蠻認同renjong兄的說法
你的User有沒有中毒並不是你所能完全掌握的
我的Server中我從收發信的統計資料中也曾發現所謂的幽靈帳號
只不過收發的次數都在個位數
至少我個人認為
如果今天這個軟體真的有這樣的大Bug時
相信這問題在這版面早就吵翻天了
而且素大也不會完全的坐視不管的
所以我也覺得中毒所帶來的影響機率比較大 |
|
回頂端 |
|
|
luke999 六段
註冊時間: 2002-08-27 文章: 143 來自: 中華民國
|
發表於: 星期一 五月 24, 2004 1:08 am 文章標題: Re: 個人淺見.... |
|
|
renjong 寫到: | 看過您的問題,順便爬一下以前的討論
個人淺見....
您的 User 群 裡面有人中毒...或中木馬......
或者...
您的 Mail Server 並不是獨立的"純"主機....(還兼您平常用的機器!)
=>您的機器中毒(或中木馬)了!
ps.別太相信防毒軟體(如果不是用合法的更別相信!) |
大大你猜中了
這的確不是"純"主機
這下可完了
我一直看到某一個ip 195...........
想存取我的1026 port
如我擋下來∼∼我可能就上不了網路
會不會有一種可能
收信∼∼但使用者沒開
因為防毒程式或者raiden去開∼而中獎了呢? _________________ AMD Barton 2500+
1024MB DDR 400
HD 200GB
ASUS A7V880
Hinet 2M/512 固3
Windows XP Profession SP2
RaidenMaild 1.9.0.10 file update 13
雷電DNSD 1.206 R2 |
|
回頂端 |
|
|
Arnor 究極の素還尊
註冊時間: 2001-11-07 文章: 13011 來自: TAIWAN
|
發表於: 星期一 五月 24, 2004 11:36 am 文章標題: |
|
|
ok.
我來試著列一下有可能發生的情況及原因.
1. 因為你沒啟用檢查寄件者email 的選項, 故使用者可以用非這台mail server 的 email 來寄信.
造成結果: 就會有非你mail server 上的帳號的寄信記錄, 所以就會在統計時被記錄下來.
2. 你的這台server 有用 server relay (incoming mail) 到別台去(如NAVGW...etc)
造成結果: 從這台maild 去統計, 就會統計到該寄件人寄到NAVGW 的記錄, 所以也會有誤會. 應該要做統計的是在第二台maild 來統計.
3. 使用者若有中毒, 或本機有中毒
造成結果: 使用者可能會透過它的mail client 設定去寄信出去, 不故現在病毒大都內建SMTP sender, 所以這情況應該比較少. 再來一個是本機中毒, 這樣會造成本機會亂寄信出去, 不過這比較好從 log 查得出來.
4. 使用者的密碼外洩
造成結果: 同第一點, 若外洩, 壞人或許會就此利用此一帳號通過驗證然後
肆無忌憚的寄廣告信.
上面這些情況都有可能造成統計器上有不明的寄件人被記錄,
若你要看看這是不是真的被盜寄, 可以從它的量來分析. 量少那就應該不是,
量多就要注意. 從\log 去查出這email 的相關資料, 打開來看一看就知當時動作
為何, 我想應該蠻好釐清的.
--
題外話, 我有在統計器上做點修正, 為了讓統計後的資料準確性高點,
我也加上非帳號的資料不統計的部份, 我不曉得這樣會不會不好,
但至少統計完的報表會較有用些, 少了掺雜非帳號的記錄我想也會好看些. _________________ *若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: [email protected]
公司網站 http://www.raidenmaild.com/company/ |
|
回頂端 |
|
|
luke999 六段
註冊時間: 2002-08-27 文章: 143 來自: 中華民國
|
發表於: 星期二 五月 25, 2004 10:04 am 文章標題: |
|
|
Arnor 寫到: | ok.
我來試著列一下有可能發生的情況及原因.
1. 因為你沒啟用檢查寄件者email 的選項, 故使用者可以用非這台mail server 的 email 來寄信.
造成結果: 就會有非你mail server 上的帳號的寄信記錄, 所以就會在統計時被記錄下來.
2. 你的這台server 有用 server relay (incoming mail) 到別台去(如NAVGW...etc)
造成結果: 從這台maild 去統計, 就會統計到該寄件人寄到NAVGW 的記錄, 所以也會有誤會. 應該要做統計的是在第二台maild 來統計.
3. 使用者若有中毒, 或本機有中毒
造成結果: 使用者可能會透過它的mail client 設定去寄信出去, 不故現在病毒大都內建SMTP sender, 所以這情況應該比較少. 再來一個是本機中毒, 這樣會造成本機會亂寄信出去, 不過這比較好從 log 查得出來.
4. 使用者的密碼外洩
造成結果: 同第一點, 若外洩, 壞人或許會就此利用此一帳號通過驗證然後
肆無忌憚的寄廣告信.
上面這些情況都有可能造成統計器上有不明的寄件人被記錄,
若你要看看這是不是真的被盜寄, 可以從它的量來分析. 量少那就應該不是,
量多就要注意. 從\log 去查出這email 的相關資料, 打開來看一看就知當時動作
為何, 我想應該蠻好釐清的.
--
題外話, 我有在統計器上做點修正, 為了讓統計後的資料準確性高點,
我也加上非帳號的資料不統計的部份, 我不曉得這樣會不會不好,
但至少統計完的報表會較有用些, 少了掺雜非帳號的記錄我想也會好看些. |
這樣好了
請大大「歷史紀錄器」將server的使用者帳號與非帳號分開
這樣應該對管理者比較明瞭
我看過log相關檔案
其實應該是SMTP的基本問題
有人利用SMTP來寄送Email
只假設帳號都只寄送一封信件而已
問題是
難道這SMTP協定目前都沒有改善? _________________ AMD Barton 2500+
1024MB DDR 400
HD 200GB
ASUS A7V880
Hinet 2M/512 固3
Windows XP Profession SP2
RaidenMaild 1.9.0.10 file update 13
雷電DNSD 1.206 R2 |
|
回頂端 |
|
|
|
|
您 無法 在這個版面發表文章 您 無法 在這個版面回覆文章 您 無法 在這個版面編輯文章 您 無法 在這個版面刪除文章 您 無法 在這個版面進行投票
|
Powered by phpBB © 2001-2007 phpBB Group
|