論壇 › MDaemon 綜合班 › REMOTE QUEUE 爆大量

hongyijc 發表於 2008-8-26 13:13:18

REMOTE QUEUE 爆大量

<P>我是新手</P>
<P>目前mail srver用的環境</P>
<P>Windows 2003 SP2</P>
<P>MDaemon 8.15</P>
<P>DNS採代管方式</P>
<P>這兩天 我發現MD裡面的REMOTE QUEUE量增加的很快</P>
<P>2個小時 約有25000封</P>
<P>想請問這是怎麼回事?</P>
<P>&nbsp;</P>
<P>謝謝&nbsp;</P>
<P>&nbsp;</P>

MarchFun 發表於 2008-8-26 22:14:49

先了解一下那些信是打哪來的？什麼內容？誰寄給誰？

tungwj 發表於 2008-8-27 09:42:55

<P>這個問題我也正在查</P>
<P>先前我用的是LINUX的SENDMAIL</P>
<P>寄信量就是這樣莫名奇妙的暴增</P>
<P>也被HINET警告通知</P>
<P>於最近才換MDaemon來用</P>
<P>&nbsp;</P>
<P>其原因莫過於"中木馬" 是於公司內部的某一台電腦中</P>
<P>也應該與最近的Yahoo病毒信件有關</P>
<P>用力一點! 每台電腦都掃毒掃木馬吧</P>
<P>&nbsp;</P>
<P>不過.....我也沒辦法提供哪套正確有效的掃毒掃木馬軟體</P>
<P>因為目前還受困擾中 (IP已被封25PORT了, 正用其他ADSL專線代替)</P>

hongyijc 發表於 2008-8-28 10:30:25

<P>辦公室內的電腦</P>
<P>我這兩天盡量去掃了</P>
<P>狀況有好點</P>
<P>但今早又突然開始大量出現了</P>
<P>&nbsp;</P>
<P>附上 active smtp in的即時畫面 , 之前 FROM的部份 應該是我內部有人中毒</P>
<P>但今早的FROM 就不太知道什麼原因了 </P>
<P>不清楚還可以從哪邊查 :L </P>
<P>&nbsp;</P>
<P>附圖中的REMOTE HOST是我公司的IP位置&nbsp;所以我把它遮住</P>
<P>&nbsp;192.18.1.253則是防火牆</P>
<P>再麻煩各位前輩指導 解惑&nbsp; </P>
<P>謝謝</P>
<P>&nbsp;</P>
<P><IMG src="http://img144.imageshack.us/img144/8731/activesmtpinog6.jpg" border=0></P>

tungwj 發表於 2008-8-28 16:07:22

<P>你的現象跟我的相差不多</P>
<P>也分享一下我的經驗 (雖然我也還在努力觀察掃毒+監視) 不介意請笑納</P>
<P>&nbsp;</P>
<P>1. MDaemon主機如果有開分享的話, 先關掉吧 (因為這個狀況不是透過OUTLOOK或其他郵件程式傳送的)</P>
<P>2. 針對木馬掃一掃 (確定是木馬所為), 試試各種掃木馬軟體 (我是用AVG)</P>
<P>3. 本機若有軟體防火牆的話, 重整規則, 看看是哪個小蟲在搗亂</P>
<P>4. 如果有接到ISP的警告信 (應該很快就收到了) 請ISP給你檢舉函的檔頭資料, 多少可以分析一點端倪</P>
<P>5. ....................寫不出來-.- 我也身受其害</P>

[ 本文最後由 tungwj 於 2008-8-28 04:08 PM 編輯 ]

hongyijc 發表於 2008-8-29 08:55:28

<P>想請問一下</P>
<P>是server本身掃毒 還是整個office裡面的PC都掃</P>
<P>因為昨天晚上 整個辦公室只有4台PC還開著</P>
<P>結果此情況還是一樣</P>
<P>&nbsp;</P>
<P>實在沒有什麼方向了:( </P>

jtain 發表於 2008-8-29 09:57:08

<P>如果有懂得如何分辨病毒、木馬的，那就直接去這4台電腦上去檢查啟動部份是否有異常現象？</P>
<P>或者去執行線上掃毒，分辨出哪台有問題，再去處理。</P>

hongyijc 發表於 2008-8-29 11:42:19

<P>那四台pc 還有 mail server</P>
<P>昨天是有用過軟體去掃過 </P>
<P>甚至 還關機 </P>
<P>但mail server一樣繁忙哩!</P>
<P>&nbsp;</P>
<P>看那個active in的畫面</P>
<P>from &amp; to</P>
<P>這樣感覺好像被當跳板哩</P>
<P>是不是這樣解釋呢</P>
<P>&nbsp;</P>

tungwj 發表於 2008-9-2 16:12:27

<P>把Queues\remote裡面的 .msg都殺掉(可能會有上萬個 很慢喔)</P>
<P>&nbsp;</P>
<P>很難搞 我用AVG掃過後 幾天下來都不曾再出現</P>
<P>但是還是有點驚驚! 還在繼續觀察中</P>
<P>&nbsp;</P>
<P>是否被當跳板 要看你的設定 爬文一下就有了</P>

hongyijc 發表於 2008-9-3 14:20:22

<P>:D</P>
<P>我也是用了很多方式去掃毒 但都沒結果</P>
<P>趁著假日 公司無人上班</P>
<P>只剩mail server開著觀察</P>
<P>smtp in 如上述一樣的狀況 都是那麼多</P>
<P>但smtp out 卻都沒反應 </P>
<P>&nbsp;</P>
<P>後來 </P>
<P>所幸把8.15移除 換成9.62</P>
<P>竟然 正常了</P>
<P>&nbsp;</P>
<P>謝謝各位前輩的回答 </P>
<P>&nbsp;</P>

檢視完整版本: REMOTE QUEUE 爆大量