作者 主題: [求助] user電腦自動寄發垃圾郵件(已解決,感謝學園學長幫忙)  (閱讀 12470 次)

0 會員 與 1 訪客 正在閱讀本文。

lokia

  • 懷疑的國中生
  • **
  • 文章數: 32
    • 檢視個人資料
最近某些user似乎是中毒或是被駭客入侵,(當然也有可能是server,不過這三者看紀錄檔都沒有~)
不斷收到是user名稱的被退回的 "寄出垃圾郵件."
寄件者是 ???[xxx@xxx.com.tw]  寄件者名稱那邊是???,並不是使用者outlook上設的名稱,而email xxx則是user的帳號
寄出的對象則不是通訊錄上的使用者,而是一些不明的信箱(cn,jp或是其他.com的都有)
掃毒也掃不出任何異常,更換密碼照樣無效
另外 pc也掃不出有病毒的痕跡,user的email是設定在pc上的outlook.
不知道這樣的敘述是否夠明白?
« 上次編輯: 2008-05-05 17:47 由 lokia »

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: [求助] user電腦自動寄發垃圾郵件
« 回覆 #1 於: 2008-04-18 18:15 »
再想想另一個可能:

公司內的 A 曾經寄信給公司外的 B , 而 B 的電腦中毒了,
所以病毒從 B 的通訊錄或信件資料, 發現 A 的資料, 而假冒成 A 的記錄.

所以找退信的附件, 如果有比較詳細的 Header , 可以拿來判斷信是哪台電腦寄出的.
冷笑話: 我的 IP 是 127.0.0.1

lokia

  • 懷疑的國中生
  • **
  • 文章數: 32
    • 檢視個人資料
回覆: [求助] user電腦自動寄發垃圾郵件
« 回覆 #2 於: 2008-04-18 20:30 »
再想想另一個可能:

公司內的 A 曾經寄信給公司外的 B , 而 B 的電腦中毒了,
所以病毒從 B 的通訊錄或信件資料, 發現 A 的資料, 而假冒成 A 的記錄.

所以找退信的附件, 如果有比較詳細的 Header , 可以拿來判斷信是哪台電腦寄出的.

剛剛利用exchsvr的郵件追蹤紀錄,查了一下該帳號的寄件紀錄,確實沒有寄過以下信件,
感覺上有可能是slime前輩說的情況,請問如果像這種情況該如何防範或制止?
另外請問一下header的資料是指? 是標色的那段嗎?附上其中一封被退回的信件,
因為第一次遇到,還請前輩指導。
以下XXX代表公司名稱  abc代表使用者:

Received: by exchsvr.xxx.com.tw
   id <01C8A149.F7AC2E00@exchsvr.xxx.com.tw>; Fri, 18 Apr 2008 19:47:24 +0800
From: "???" <abc@xxx.com.tw>
To: <jinknzw@tojo-catv.co.jp>
Subject: we caught you naked jinknzw! check the video
Date: Fri, 18 Apr 2008 17:59:58 +0800
Message-ID: <62568.juli@tzuwang>
MIME-Version: 1.0
Content-Type: multipart/alternative;
   boundary="----=_NextPart_000_08D0_01C8A191.562E8BC0"
X-Mailer: Microsoft Office Outlook 11
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
Content-class: urn:content-classes:message
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Index: AcihSfzyIvdVSaibRxCN54Mjt+DNIg==

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: [求助] user電腦自動寄發垃圾郵件
« 回覆 #3 於: 2008-04-22 09:48 »
代碼: [選擇]
Received: by exchsvr.xxx.com.tw
   id <01C8A149.F7AC2E00@exchsvr.xxx.com.tw>; Fri, 18 Apr 2008 19:47:24 +0800

這邊可能要再詳細一點, 分兩個部份來看:

1. 正常的信, header 也是長這樣嗎?

2. 通常廣告信或病毒會有這樣的特徵:

代碼: [選擇]
Received: from A(真的IP) to B
Received: from C(假的資料) to A(真的IP)
Received: from D(假的資料) to C(假的資料)

看到您的 header , 我比較懷疑這行已經是假資料, 真的資料可能沒有複製到.
冷笑話: 我的 IP 是 127.0.0.1

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
回覆: [求助] user電腦自動寄發垃圾郵件
« 回覆 #4 於: 2008-04-22 11:43 »
看起來問題原因出在 user 中毒的機率比較低,
如果是 user 電腦的病毒寄出的信件,可能會在 user 電腦留下寄件備份或 LOG,
你描述的問題並沒有這些特徵,
而 SMTP 本來就允許偽造寄件者,
所以 slime 所說的可能性很大,要看到信件 header 才能判斷。

--
不過,根據不負責任的經驗猜測,問題出在「公司外的B」機率比較大,
等釐清責任後,你還得通知「公司外的B」請對方負責的 postmaster 去處理這個問題。
本文作者為天線寶寶,長期關注兒童智力發展狀態。

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
回覆: [求助] user電腦自動寄發垃圾郵件
« 回覆 #5 於: 2008-04-22 22:37 »
那個 From 是假造的...

並非你們內部 user 寄的
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

zanhuge

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
樓主,你好。
我的電腦也遇到和你相通的問題,請教下處理方法。我email地址:zanhuge@gmail.com

謝謝。。。期待你的郵件

chen123

  • 懷疑的國中生
  • **
  • 文章數: 47
    • 檢視個人資料
版主你好:
請問你的問題是如何解決的,可以告知嗎?
我發現的的主機中有三個帳號底下有被設定.forward,而上面所設定轉遞的e-mail中有與垃圾信寄送者相同的,現在還弄不清楚原因!!目前將sshd關閉後就沒有垃圾信出現了!