大量SMTP攻擊(自己公司IP)

 
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server)
上一篇文章 :: 下一篇文章  
發表人 內容
shenjohn
三段
三段


註冊時間: 2004-04-05
文章: 56
來自: 台灣 , 中華民國

發表發表於: 星期二 四月 28, 2015 10:10 am    文章標題: 大量SMTP攻擊(自己公司IP) 引言回覆

素大您好
公司近日一直被SMTP攻擊起先有找到原因有個帳號被盜被當成垃圾信跳柀,後來有將此帳號刪除,後來變成一直進來TRY帳號從防火牆一一將攻擊IP阻擋,但目前卻顯示的都是是公司的MAIL SERVER IP,查CMD檔也都是公司的IP,這不知是什麼情形麻煩提供意見,謝謝~




[2015/4/28 上午 10:00:45] [6052] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:00:47] [2152] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:00:50] [3952] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:00:52] [6052] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:00:54] [2152] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:00:55] [3952] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:00:56] [6052] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:00:58] [2152] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:01:00] [3952] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:01:02] [6052] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:01:04] [2152] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:01:05] [3952] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:01:08] [6052] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:01:10] [2152] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:01:12] [3952] SMTP 服務接受從 203.73.64.96 來的連線
[2015/4/28 上午 10:01:13] [6052] SMTP 服務接受從 203.73.64.96 來的連線
_________________
成長是由不斷的學習所累積
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期二 四月 28, 2015 11:14 am    文章標題: 引言回覆

會從自己的IP 連來, 有兩種情況才有可能
1) 若你是架在NAT環境, 那就只有內網電腦連真實IP 才會變成以自己真實IP 連進來
2) 若是電腦直接設真實IP 上網, 只有本機連自己真實IP才會變成以自己真實IP 連進來

你是哪一種?

請看一下 .cmd 檔, 以了解連線進來後的指令為何?
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
shenjohn
三段
三段


註冊時間: 2004-04-05
文章: 56
來自: 台灣 , 中華民國

發表發表於: 星期二 四月 28, 2015 1:53 pm    文章標題: 引言回覆

1.我司mail server是架在防火牆下第一層hub,以虛擬伺服器對應
2.CMD內容如下
2015/04/28:10:00:55 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:00:55 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:00:56 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:00:57 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:00:58 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:00:59 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:00:59 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:01:01 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:01:01 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:01:03 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:01:03 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:01:04 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:01:04 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:01:06 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:01:07 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:01:08 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:01:09 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:01:11 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:01:11 SMTP 203.73.64.96 AUTH LOGIN
2015/04/28:10:01:12 SMTP 203.73.64.96 EHLO ylmf-pc
2015/04/28:10:01:13 SMTP 203.73.64.96 AUTH LOGIN

看起來是有一台YLMF-PC的電腦一直登入,但查看公司電腦並沒有這一台,有沒有可能是平版或是外部電腦
_________________
成長是由不斷的學習所累積
回頂端
檢視會員個人資料 發送私人訊息
soontai
霸王
霸王


註冊時間: 2010-12-10
文章: 272
來自: TAIWAN

發表發表於: 星期日 五月 17, 2015 10:14 pm    文章標題: 引言回覆

這台 ylmf-PC 我有看過, 也是有想要入侵我公司
動作和訊息一樣, 只是 ip 不同, 你是用一般的分享器還是專業點的防火牆??
回頂端
檢視會員個人資料 發送私人訊息
stanf1
一級


註冊時間: 2013-05-02
文章: 6
來自: TAIWAN

發表發表於: 星期四 九月 17, 2015 8:25 am    文章標題: 引言回覆

soontai 寫到:
這台 ylmf-PC 我有看過, 也是有想要入侵我公司
動作和訊息一樣, 只是 ip 不同, 你是用一般的分享器還是專業點的防火牆??



這個ylmf-pc 常常看得到在log裡= =
回頂端
檢視會員個人資料 發送私人訊息
soontai
霸王
霸王


註冊時間: 2010-12-10
文章: 272
來自: TAIWAN

發表發表於: 星期四 九月 17, 2015 10:45 am    文章標題: 引言回覆

stanf1 寫到:
soontai 寫到:
這台 ylmf-PC 我有看過, 也是有想要入侵我公司
動作和訊息一樣, 只是 ip 不同, 你是用一般的分享器還是專業點的防火牆??



這個ylmf-pc 常常看得到在log裡= =


沒錯~~但防不了~~
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server) 所有的時間均為 台北時間 (GMT + 8 小時)
1頁(共1頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票


Powered by phpBB © 2001-2007 phpBB Group