台灣最大程式設計社群網站
線上人數
1949
 
會員總數:246575
討論主題:190032
歡迎您免費加入會員
討論區列表 >> Linux / Unix >> 關於使用者亂發信的問題
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
關於使用者亂發信的問題
價值 : 50 QP  點閱數:3540 回應數:14
樓主

towns 版主
中級專家
5027 174
5576 901
發送站內信

捐贈 VP 給 towns
請問大家,我在管理的一台mail server中,他的mailq裡,常常可以發覺有兩個使用者,一直在發一些奇怪的信件如下面所列的資料(部分資料,使用者的mail有修改過),想請問一下,這是發生了什麼事情?該怎麼處理呢?
我本身的覺得,這像是使用者的個人電腦中毒,不斷的從他的主機在做發信的動作,是否有人有遇過相同的情形呢?

0C9C61380 814 Wed Jan 7 23:43:41 apple@a.b.org.tw
(connect to mail.passallesss.com.cn[122.173.0.137]: Connection timed out)
qk67718q0966@passallesss.com.cn

037CA11C3 793 Tue Jan 6 04:48:29 apple@a.b.org.tw
(connect to mail.vinklives.com.cn[122.173.0.137]: Connection timed out)
yeenong@vinklives.com.cn

0203E144E 616 Fri Jan 9 15:48:31 many@a.b.org.tw
(connect to mail.jolokomos.com.cn[122.173.0.137]: Connection timed out)
calligraphy369@jolokomos.com.cn

0A6D313F3 880 Thu Jan 8 06:55:04 apple@a.b.org.tw
(connect to mail.16895110.cn[122.173.0.137]: Connection timed out)
sadevencol.3@16895110.cn

1A91F11EC 814 Mon Jan 5 11:27:25 apple@a.b.org.tw
(connect to mail.091899302.cn[122.173.0.137]: Connection timed out)
lee.pearol@091899302.cn

13C9D1316 829 Wed Jan 7 05:01:24 apple@a.b.org.tw
(connect to mail.gogoblogs.com.cn[122.173.0.137]: Connection timed out)
dantouk@gogoblogs.com.cn

11EA61303 610 Wed Jan 7 15:00:01 many@a.b.org.tw
(connect to mail.gogoblogs.com.cn[122.173.0.137]: Connection timed out)
csc4chen@gogoblogs.com.cn

1F592137A 608 Wed Jan 7 21:02:45 many@a.b.org.tw
(connect to mail.091899302.cn[122.173.0.137]: Connection timed out)
chenronnie@091899302.cn

搜尋相關Tags的文章: [ mail server ] ,
本篇文章發表於2009-01-09 17:13
== 簽名檔 ==
來吧~~~電腦:http://blog.xuite.net/towns/hc
專修小問題:http://hc.chongyang-go.idv.tw
1樓
最有價值解答

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
遇過
又如何?
可能性很多種,但是都不是重點.
把帳號封了就對了.

如果連個User都沒辦法管
那也不用管Server了
本篇文章回覆於2009-01-09 20:42
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
user是最難管的,反而server是比較好管的,我還是希望能透過管理server的方向,來做管理 ^^
本篇文章回覆於2009-01-10 10:50
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
1.目標主機都是同一個IP[122.173.0.137]
2.收件人"大概"非同一人

這有啥好管的?
宰了這個帳號就對了.
本篇文章回覆於2009-01-10 16:53
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
自己再確認一下
這兩個使用者的寄出IP(我猜,應該都不是本人,甚至不是台灣IP)
本篇文章回覆於2009-01-10 16:54
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
嗯嗯,很有可能,我去查一下,謝謝蔥大
本篇文章回覆於2009-01-11 09:55
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
再查看了一下Log檔,拿出幾點來與大家討論
1.發覺有大量該IP連接,而且,該IP的位置是India Chandigar(印度 昌迪加爾),使用的是動態IP
2.目前來說,這台server可能已經沒有在使用了,所有的connect都是time out,只是使用者中毒後,還是不斷的發信至該IP
3.這個IP使用的domain,是改來去的,並不是固定的,只有IP是固定的

Jan 11 09:58:10 mail postfix/smtp[8530]: connect to mail.twoasias.com.cn[122.173.0.137]: Connection timed out (port 25)
Jan 11 09:58:10 mail postfix/smtp[8528]: connect to mail.hlogolppo.com.cn[122.173.0.137]: Connection timed out (port 25)
Jan 11 09:58:10 mail postfix/smtp[8531]: connect to mail.hlogolppo.com.cn[122.173.0.137]: Connection timed out (port 25)
Jan 11 09:58:10 mail postfix/smtp[8529]: connect to mail.goseeders.com.cn[122.173.0.137]: Connection timed out (port 25)

目前我想做的有兩件事請
1.將寄到該IP的信,直接導入/dev/null中
2.將寄到該IP的信,複製一分給指定信箱,看看到底是寄出了什麼資料
目前我常做到的是收信管理(使用procmail過濾、導向,使用aliases、.forward複製,但是寄信管理要怎麼做,還得請各位高人指點一下,需要在MTA寄出信件前,先放到一個指定的MDA中才能達成嗎?還是postfix、sendmail本身就有這樣的功能?還是有其他套件可以做到(如mailscanner等…)?
本篇文章回覆於2009-01-11 11:05
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
7樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
就如蔥大說的
這兩個使用者的寄出IP(我猜,應該都不是本人,甚至不是台灣IP)
的確不是台灣的IP
本篇文章回覆於2009-01-11 11:48
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
8樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
我覺得...
先用procmail將那兩個帳號寄出的信,Copy一份到其它信箱,確認一下內容
推測應該都是廣告信
比較有可能的是,因為帳號密碼簡單,已經被暴力破解密碼,被拿來當轉寄廣告信的跳台之一(如果SMTP前需驗證的話)
另外,[122.173.0.137]是[目標]
你需要看一下寄信的[來源]

C:\Documents and Settings\Administrator>nslookup 122.173.0.137
Server: dns.seed.net.tw
Address: 139.175.55.244

Name: ABTS-North-Dynamic-137.0.173.122.airtelbroadband.in
Address: 122.173.0.137
目標是個浮動IP,典型的廣告信跳台.
本篇文章回覆於2009-01-11 16:18
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
9樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
請教蔥大,procmail可以做到寄出的信件備份嗎?
本篇文章回覆於2009-01-12 14:08
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
10樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
http://www.pmail.idv.tw/plog/index.php?load=read&id=378
http://www.lslnet.com/linux/f/docs1/i60/big5399120.htm

相關的方法,Google一下,應該還有不少
本篇文章回覆於2009-01-12 15:06
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
11樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
謝謝蔥大的連結,不過,這些都是說明收信備份、過濾等方法,在我的印像中procmail只能針對收入的信件動作,如果要做寄信管理,可能需要使用到其他的套件。
本篇文章回覆於2009-01-12 15:37
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
12樓
不錯的參考

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
不然就靠mailscanner去做寄出信件備份吧,似乎也是個比較好的監看方案?

postfix似乎有功能,能夠直接這樣做
sendmail則是要改一些東西配合procmail...
本篇文章回覆於2009-01-13 00:32
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
13樓
作者回應

towns
捐贈 VP 給 towns 檢舉此回應
感謝蔥大,我去試一下
本篇文章回覆於2009-01-13 09:28
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
14樓
不錯的參考

future
檢舉此回應
mailscanner 也能備份
本篇文章回覆於2009-01-13 14:09
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.