作者 主題: 系統疑似中毒,postfix 狂寄病毒信問題。  (閱讀 6653 次)

0 會員 與 1 訪客 正在閱讀本文。

harry112

  • 憂鬱的高中生
  • ***
  • 文章數: 198
    • 檢視個人資料
這一兩天開始,我開始收到 mailscanner 寄送的病毒信訊息。



從 mail header 看起來是我的系統帳號 postfix 發出的(uid 102),不知道該怎麼檢測問題並排除狀況,特來向大家請教。

這是 maillog
May 20 11:46:05 server postfix/cleanup[28703]: 0348127703: hold: header Received: from google-ltd.com (unknown [222.172.130.177])??by server.domain.com.tw (Postfix) with SMTP id 0348127703??for <xxx@domain.com.tw>; Sun, 20 May 2007 11:45:52 +0800 (CST) from unknown[222.172.130.177]; from=<ntshin@google-ltd.com> to=<xxx@domain.com.tw> proto=SMTP helo=<google-ltd.com>

這是可疑的連線(摘錄)
udp        0      0 0.0.0.0:32770               0.0.0.0:*
udp        0      0 127.0.0.1:37891             0.0.0.0:*
udp        0      0 127.0.0.1:38149             0.0.0.0:*
udp        0      0 127.0.0.1:38150             0.0.0.0:*
udp        0      0 127.0.0.1:37777             0.0.0.0:*
udp        0      0 127.0.0.1:34837             0.0.0.0:*
udp        0      0 127.0.0.1:38809             0.0.0.0:*
udp        0      0 127.0.0.1:40998             0.0.0.0:*
udp        0      0 127.0.0.1:47912             0.0.0.0:*
udp        0      0 127.0.0.1:37042             0.0.0.0:*
udp        0      0 127.0.0.1:37692             0.0.0.0:*
udp        0      0 127.0.0.1:59582             0.0.0.0:*
udp        0      0 127.0.0.1:37697             0.0.0.0:*
udp        0      0 127.0.0.1:48962             0.0.0.0:*

yugu

  • 可愛的小學生
  • *
  • 文章數: 5
    • 檢視個人資料
    • http://ioppoo.blogspot.com/
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #1 於: 2007-05-20 17:05 »
基本上我不曉得我的回答是否正確,
但也許可參考port資訊:http://www.grc.com/port_37891.htm

SaPow

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 509
    • 檢視個人資料
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #2 於: 2007-05-21 10:09 »
有人一直寄病毒信給你, 你收到的是系統的通知信件, 怎麼會 "系統疑似中毒,postfix 狂寄病毒信問題。"

harry112

  • 憂鬱的高中生
  • ***
  • 文章數: 198
    • 檢視個人資料
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #3 於: 2007-05-21 10:16 »
因為之前的狀況是,如果有收到病毒信或廣告信,mail header 中都可以看到對方的 ip,但這次是顯示為(Postfix, from userid 102)。
且我的 server 開了許多不明的 port ,這也讓我懷疑是否中了不明程式。
目前還在頭痛中…

aaronosos

  • 懷疑的國中生
  • **
  • 文章數: 43
    • 檢視個人資料
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #4 於: 2007-05-21 22:12 »
引述: "harry112"
因為之前的狀況是,如果有收到病毒信或廣告信,mail header 中都可以看到對方的 ip,但這次是顯示為(Postfix, from userid 102)。
且我的 server 開了許多不明的 port ,這也讓我懷疑是否中了不明程式。
目前還在頭痛中…


那是因為mailscanner偵測到病毒性是以postmaster這身份寄給你阿
看你mailscanner組態下便知道嚕!!
這樣看起來只是單純友人寄發病毒信卻被你的mailscanner掃瞄出來阿!!
別頭痛!!要開心才對!!這證明了mailscanner有做事阿>"<

harry112

  • 憂鬱的高中生
  • ***
  • 文章數: 198
    • 檢視個人資料
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #5 於: 2007-05-22 09:48 »
他的 ip 幾乎每次都不一樣,一個一個檔也不是辦法,也可能是假的。
我有什麼辦法可以知道發信來源嗎?

aaronosos

  • 懷疑的國中生
  • **
  • 文章數: 43
    • 檢視個人資料
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #6 於: 2007-05-22 17:04 »
引述: "harry112"
他的 ip 幾乎每次都不一樣,一個一個檔也不是辦法,也可能是假的。
我有什麼辦法可以知道發信來源嗎?


發信端IP本身就可以從mailscanner的信件裡得知阿>"<
你的圖本身不就已經有寫了"sender和ip address"了
可以利用postgrey擋掉阿,他基本上是先退信之後等一段時間才會收。
所以要對方mail server要再重發一次為前提。

基本上垃圾信件主機是不會有重發的機制!!可以利用這一點。

harry112

  • 憂鬱的高中生
  • ***
  • 文章數: 198
    • 檢視個人資料
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #7 於: 2007-07-19 11:34 »
後來我們 server 被 RBL 記錄了,後來我是重裝了一部 mail server,並停掉原來 server 上面 mail service,隔天 RBL 就解除了。

看起來我原來的 mail server 可能有問題,但 chkrootkit/rkhunter 掃不出東西。

原文中我提到有些奇怪的連線,在新的 mail server 上也有,不過時多時少,不像原來那台一直都很多。

如下:
udp        0      0 0.0.0.0:46806               0.0.0.0:*
udp        0      0 0.0.0.0:46807               0.0.0.0:*
udp        0      0 0.0.0.0:46809               0.0.0.0:*
udp        0      0 0.0.0.0:46810               0.0.0.0:*
udp        0      0 0.0.0.0:46811               0.0.0.0:*
udp        0      0 0.0.0.0:46812               0.0.0.0:*
udp        0      0 0.0.0.0:46813               0.0.0.0:*
udp        0      0 0.0.0.0:46814               0.0.0.0:*

請問我怎麼查出這些連線的目的呢?
這會不會是我內部 user 的連線呢?

SaPow

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 509
    • 檢視個人資料
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #8 於: 2007-07-20 09:13 »
關於那些port, 你可以用 netstat -anp 看是哪些程序建立的

另外你懷疑內部user的連線, 這台主機還兼NAT嗎?
是的話可以用這個工具看  http://sourceforge.net/projects/nat-info/

harry112

  • 憂鬱的高中生
  • ***
  • 文章數: 198
    • 檢視個人資料
系統疑似中毒,postfix 狂寄病毒信問題。
« 回覆 #9 於: 2007-07-22 23:12 »
udp        0      0 127.0.0.1:43938             0.0.0.0:*                               15870/smbd
udp        0      0 127.0.0.1:43812             0.0.0.0:*                               28492/smbd
udp        0      0 127.0.0.1:42917             0.0.0.0:*                               16106/smbd
udp        0      0 127.0.0.1:43942             0.0.0.0:*                               15906/smbd
udp        0      0 127.0.0.1:42923             0.0.0.0:*                               16163/smbd

看起來是正常的連線。

那就奇怪了,server 看起來沒問題,那就是內部有人不正常在發信。
但為什麼我換了部 mail server 沒多久就從 RBL 中移除了?
還在找答案中。

這部 server 不做 NAT 用。