這樣訊息是被攻擊了嗎?

SammyChang · 一級 註冊時間: 2005-05-29 文章: 18 來自: 中華民國

今早發現mail 當機,將雷電重開後發現以下訊息

[2007/9/27 上午 01:24:10] [2828] SMTP 服務接受從 89.21.120.21 來的連線
[2007/9/27 上午 01:24:25] [912] SMTP 服務接受從 201.27.192.24 來的連線
[2007/9/27 上午 01:24:33] [1644] SMTP 服務接受從 200.207.154.114 來的連線
[2007/9/27 上午 01:24:35] [1196] SMTP 服務接受從 201.92.232.24 來的連線
[2007/9/27 上午 01:24:36] [1328] SMTP 服務接受從 61.173.18.145 來的連線
[2007/9/27 上午 01:24:54] [2940] SMTP 服務接受從 202.89.79.212 來的連線
[2007/9/27 上午 01:24:55] [3424] SMTP 服務接受從 200.172.5.10 來的連線
[2007/9/27 上午 01:24:58] [2788] SMTP 服務接受從 86.1.235.226 來的連線
[2007/9/27 上午 01:25:00] [316] SMTP 服務接受從 218.25.24.110 來的連線
[2007/9/27 上午 01:25:01] [1384] SMTP 服務接受從 201.92.202.226 來的連線
[2007/9/27 上午 01:25:19] [3420] SMTP 服務接受從 195.29.45.18 來的連線
[2007/9/27 上午 01:25:22] [2104] SMTP 服務接受從 91.168.111.103 來的連線
[2007/9/27 上午 01:25:23] [4024] SMTP 服務接受從 201.27.131.174 來的連線
[2007/9/27 上午 01:25:24] [1840] SMTP 服務接受從 61.177.248.202 來的連線
[2007/9/27 上午 01:25:24] [3088] SMTP 服務接受從 86.66.217.142 來的連線
[2007/9/27 上午 01:25:24] [1028] SMTP 服務接受從 201.49.213.37 來的連線
[2007/9/27 上午 01:25:25] [4016] SMTP 服務接受從 85.11.150.2 來的連線
[2007/9/27 上午 01:25:36] [3500] SMTP 服務接受從 201.13.173.67 來的連線
[2007/9/27 上午 01:25:36] [1828] SMTP 服務接受從 218.63.92.39 來的連線
[2007/9/27 上午 01:25:37] [2612] SMTP 服務接受從 200.78.117.244 來的連線
........................................................................................................
..........................................................................................................
.........................................................................................................

[2007/9/27 上午 01:30:11] [2988] SMTP 服務接受從 211.138.9.114 來的連
線
[2007/9/27 上午 01:30:12] [1216] SMTP 服務接受從 61.159.254.67 來的連線
[2007/9/27 上午 01:30:30] [4004] SMTP 服務接受從 190.49.35.149 來的連線
[2007/9/27 上午 01:30:33] [1956] SMTP 服務接受從 59.151.5.156 來的連線
[2007/9/27 上午 01:30:37] [1208] SMTP 服務接受從 189.4.1.19 來的連線
[2007/9/27 上午 01:30:39] [2592] SMTP 服務接受從 218.92.207.139 來的連線
[2007/9/27 上午 01:30:39] [1240] SMTP 服務接受從 61.40.129.197 來的連線
[2007/9/27 上午 01:30:39] [3056] SMTP 服務接受從 201.59.53.187 來的連線
[2007/9/27 上午 01:30:40] [4040] SMTP 服務接受從 200.88.102.186 來的連線
[2007/9/27 上午 01:30:40] [1908] SMTP 服務接受從 80.152.168.17 來的連線
[2007/9/27 上午 01:30:41] [1228] SMTP 服務接受從 200.6.174.220 來的連線
[2007/9/27 上午 01:30:50] [3316] SMTP 服務接受從 201.222.237.127 來的連線
[2007/9/27 上午 01:30:51] [2704] SMTP 服務接受從 59.104.2.91 來的連線
[2007/9/27 上午 01:30:51] [3556] SMTP 服務接受從 222.221.6.144 來的連線
[2007/9/27 上午 01:30:51] [3204] SMTP 服務接受從 200.87.143.181 來的連線
[2007/9/27 上午 01:30:55] [3504] SMTP 服務接受從 200.141.162.131 來的連線
[2007/9/27 上午 01:30:59] [2444] SMTP 服務接受從 79.12.201.213 來的連線
[2007/9/27 上午 01:31:01] [3264] SMTP 服務接受從 122.225.96.21 來的連線
[2007/9/27 上午 01:31:02] [4028] SMTP 服務接受從 211.152.50.100 來的連線
[2007/9/27 上午 01:31:06] [2744] SMTP 服務接受從 189.12.80.158 來的連線
[2007/9/27 上午 01:31:08] [656] SMTP 服務接受從 91.124.131.59 來的連線
[2007/9/27 上午 01:31:13] [3072] SMTP 服務接受從 85.128.72.18 來的連線
[2007/9/27 上午 01:31:14] [1980] SMTP 服務接受從 221.209.18.18 來的連線
[2007/9/27 上午 01:31:15] [3732] SMTP 服務接受從 190.49.252.230 來的連線
[2007/9/27 上午 06:23:21] 213.215.135.124 因為閒置 SMTP 過久而強迫中斷其連線
[2007/9/27 上午 06:23:27] 完成清除過時的 IP 快取!
[2007/9/27 上午 06:23:27] 完成清除過時的網域快取!
[2007/9/27 上午 06:23:27] 系統進行記憶體最佳化程序
[2007/9/27 上午 06:23:27] 因為閒置 SMTP 過久而強迫中斷其連線
[2007/9/27 上午 06:23:27] 196.200.19.66 因為閒置 SMTP 過久而強迫中斷其連線
[2007/9/27 上午 06:23:27] 201.93.238.87 因為閒置 SMTP 過久而強迫中斷其連線
[2007/9/27 上午 06:23:27] 200.119.49.119 因為閒置 SMTP 過久而強迫中斷其連線
[2007/9/27 上午 06:23:27] 200.246.202.192 因為閒置 SMTP 過久而強迫中斷其連線
[2007/9/27 上午 06:23:27] 218.206.74.71 因為閒置 SMTP 過久而強迫中斷其連線
[2007/9/27 上午 06:23:27] 189.11.208.97 因為閒置 SMTP 過久而強迫中斷其連線

[2007/9/27 上午 06:23:29] [392] SMTP 服務中斷從 200.119.49.119 來的連線
[2007/9/27 上午 06:23:31] [2892] SMTP 服務接受從 201.68.243.233 來的連線

然後雷電就當機了

請問這樣是被攻擊了嗎?

我的雷電版本 1.9.13 file update 9

Arnor · 發表於: 星期四九月 27, 2007 10:53 am 文章標題:

應該是被攻擊.

看你的log 你沒有用 Service 啟動, 建議使用keep alive + health monitor 來讓系統恢復正常
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

SammyChang · 發表於: 星期四九月 27, 2007 3:27 pm 文章標題:

謝謝素大的回覆

eric641 · 三段 註冊時間: 2002-05-09 文章: 61 來自: Taipei

keep alive + health monitor 這兩個我都有使用，
但這種攻擊一直出現，
到底要怎麼對付呢？

Arnor · 發表於: 星期二十一月 13, 2007 9:40 am 文章標題:

我所遇過的是字典攻擊, 一直來猜帳號.
你這種樣子的攻擊我比較沒見過.
要看你的 .cmd 記錄檔才知該連線連來做什麼.
不然若只是連線, 並無法將這種動作定義為一定是攻擊,
因為連線是很正常的動作.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/