Remote queue 暴增!!

殘雲孤星 · 發表於 2012-3-5 19:25:12

馬上註冊，結交更多好友，享用更多功能，讓你輕鬆瀏覽論壇。

你需要登入才可以下載或檢視，沒有帳號？我要註冊

x

本文章最後由殘雲孤星於 2012-3-6 10:36 AM 編輯

前幾天公司同事來電說他用OUTLOOK收信收到上萬封信

我打開MDaemon來看

發現Remote queue瘋狂增加

每分鐘至少增加快100

看Sessions裡的SMTP(in)也出現一大堆的 TYPE是SMTP Rcv From都是顯示[url=mailto

[email protected]][email protected][/url]這個信箱(這信箱是公司助理收發公司內部信件在用)

後來我將此信箱刪除

SMTP Rcv 還是會跑出一堆來然後快速閃現消失

助理的電腦發現沒裝防毒，安裝掃毒後也抓到幾支木馬

但現在，就算這台電腦關機或拔網路線

SMTP(in) 裡 SMTP Rcv 還是會跑出一堆來然後快速閃現消失

SERVER這台也給他掃過沒發現病毒

我該怎麼處理??

請大大們指導~感激不盡~~~

未命名2.JPG

MarchFun · 發表於 2012-3-6 12:40:58

我看到信是來自 192.168.1.1，應該是這台中了木馬。這台電腦是做什麼用的？

殘雲孤星 · 發表於 2012-3-6 13:18:22

這是防火牆 FortiGate 80C

MarchFun · 發表於 2012-3-6 14:36:00

那很奇怪。

你們正常的外面寄進來的信也會是 192.168.1.1 嗎？應該不是吧...哪個郵件伺服器寄來的應該就是該伺服器的 IP 才是。

殘雲孤星 · 發表於 2012-3-6 18:47:48

本文章最後由殘雲孤星於 2012-3-6 06:50 PM 編輯

我也莫名奇妙

伺服器那台是192.168.1.253

剛剛抓的圖

這次是Remote IP 是 59.124.252.180 這IP也不知哪來的

lemon · 發表於 2012-3-7 01:33:44

我也遇到這個問題耶不過我得更誇張上1X萬...該怎辦...

MarchFun · 發表於 2012-3-7 09:48:38

基本上應該是那個信箱的密碼被猜中了，因此被用來當垃圾信的跳板。現在你把該帳號刪除了，或許過一陣子攻不進來後，垃圾客就會放棄使用這個帳號。

建議開啟 POP Before SMTP 功能。

殘雲孤星 · 發表於 2012-3-8 11:57:31

不好意思~

可以說明一下開啟 POP Before SMTP的開啟方式

以及他的作用

非常感激~

另，我發現我的防火牆一直有人嘗試登入，好在都密碼輸入錯誤

sandra200308 · 發表於 2012-3-21 09:33:57

我的狀況也是如此

robin0826 · 發表於 2012-9-28 14:31:15

可以修改被猜中密碼的用戶密碼後
到ip screen將此IP封鎖

一般都是密碼與USER NAME相同會比較容易猜中

		自動登入	取回密碼
密碼			我要註冊

[已解決] Remote queue 暴增!!

馬上註冊，結交更多好友，享用更多功能，讓你輕鬆瀏覽論壇。