pcc 一級
註冊時間: 2004-01-15 文章: 28 來自: 中華民國
|
發表於: 星期二 四月 06, 2004 8:04 pm 文章標題: 會假造發信ip及smtp主機的病毒 |
|
|
小弟前次發問無法手hotmail的問題,發現兇手了
不是素大看錯,也不是我設錯,更不是hotmail的問題
原問題如下
http://www.raidenhttpd.com/jlbb/viewtopic.php?t=8451&highlight=
我發現應該是病毒
話說重頭,請依序閱讀,有點亂抱歉
本來發現有郵件被檔,而且是hotmail來的
查了發現ip是msft的,所以加入列外清單======================================
[2004/4/6 上午 12:36:25] SMTP 服務接受從 65.54.165.84 來的連線
[2004/4/6 上午 12:36:35] 65.54.165.84 - 寄件人主機名稱(mc10-s10.hotmail.com)與反查記錄不吻合
[2004/4/6 上午 12:36:35] SMTP 服務中斷從 65.54.165.84 來的連線
==========================================
2004/04/06:00:36:32 SMTP 65.54.165.84 EHLO mc10-s10.hotmail.com
2004/04/06:00:36:34 SMTP 65.54.165.84 MAIL FROM:<>
2004/04/06:00:37:44 SMTP 65.54.165.84 EHLO mc10-s10.hotmail.com
2004/04/06:00:37:46 SMTP 65.54.165.84 MAIL FROM:<>
2004/04/06:00:38:56 SMTP 65.54.165.84 EHLO mc10-s10.hotmail.com
2004/04/06:00:38:58 SMTP 65.54.165.84 MAIL FROM:<>
2004/04/06:00:54:00 SMTP 65.54.165.84 EHLO mc10-s10.hotmail.com
2004/04/06:00:54:00 SMTP 65.54.165.84 MAIL FROM:<>
=============================================
加入列外清單後收到信,但沒寄件人,心想有疑問
[2004/4/6 上午 12:53:59] SMTP 服務接受從 65.54.165.84 來的連線
[2004/4/6 上午 12:54:00] 65.54.165.84 要求 SMTP 服務 - 寄信人是
[2004/4/6 上午 12:55:14] 65.54.165.84 - 郵件內容已收到 (To:[email protected]) 875272 bytes ( 12.1 KB/s)
[2004/4/6 上午 12:55:14] SMTP 服務中斷從 65.54.165.84 來的連線
[2004/4/6 上午 12:55:15] 儲存郵件到 <haku1548> 的信箱, 檔名為 _20040406005400-17921350-1388.eml 875389bytes
===========================================
2004/04/06:00:54:00 SMTP 65.54.165.84 RCPT TO:<[email protected]>
2004/04/06:00:54:00 SMTP 65.54.165.84 DATA
2004/04/06:00:55:14 SMTP 65.54.165.84 QUIT
============================================
調出郵件檔頭
Received: from mc10-s10.hotmail.com([65.54.165.84]) by RaidenMAILD([192.168.123.1]); Tue, 6 Apr 2004 00:55:14 +0800
Received: from mc10-f38.hotmail.com ([65.54.166.174]) by mc10-s10.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824);
Mon, 5 Apr 2004 09:37:22 -0700
From: [email protected]
To: [email protected]
Date: Mon, 5 Apr 2004 09:36:57 -0700
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="9B095B5ADSN=_01C418F587D22C6E00039B5Cmc10?f38.hotmail"
Message-ID: <[email protected]>
Subject: Delivery Status Notification (Failure)
Return-Path: <>
X-OriginalArrivalTime: 05 Apr 2004 16:37:22.0354 (UTC) FILETIME=[4502D120:01C41B2C]
========================
有附加檔*.dat懷疑為病毒郵件
不死心-去hotmail申請一帳號測試寄回主機看helo到底為何
[2004/4/6 上午 01:30:15] SMTP 服務接受從 64.4.37.16 來的連線
[2004/4/6 上午 01:31:03] 64.4.37.16 要求 SMTP 服務 - 寄信人是 [email protected]
[2004/4/6 上午 01:31:05] 64.4.37.16 - 郵件內容已收到 (To:[email protected]) 899 bytes ( 0.9 KB/s)
[2004/4/6 上午 01:31:06] SMTP 服務中斷從 64.4.37.16 來的連線
[2004/4/6 上午 01:31:06] 儲存郵件到 <pcc> 的信箱, 檔名為 _20040406013102-20143065-344.eml 1005bytes
=======================================
2004/04/06:01:30:21 SMTP 64.4.37.16 EHLO hotmail.com
2004/04/06:01:30:23 SMTP 64.4.37.16 MAIL FROM:<[email protected]>
2004/04/06:01:31:02 SMTP 64.4.37.16 RCPT TO:<[email protected]>
==================================
可以不會被檔,而且ehlo主機是hotmail.com
可見這才正確
但厲害的是
病毒信可用msft的網段發信且helo為mc10-s10.hotmail.com
如果有天他helo主機變為hotmail.com那不就騙過ptr檢查了
總之我是外行,還是不懂
最後想請教當有smtp來連線被檔,
該如何判斷是否值得加入列外清單
或可如何判定是正常主機呢
謝謝 |
|