我负责管理一个由大约 40 台计算机组成的小型网络。我们正在运行 Exchange 2003 邮件服务器。
找出哪台机器被垃圾邮件机器人感染的最佳方法是什么?我尝试在每台计算机上安装防病毒和反恶意软件程序。扫描完这些计算机后,我确实发现其中几台计算机有很多恶意程序,我以为我们的问题解决了。然而,我们的域名不断被 DNS 黑名单阻止,我必须每天删除它们,以便我们的客户收到我们的电子邮件。
注意:我们正遭受目录收集 (Directory Harvest) 和反向散射 (Backscatter) 策略的攻击。
编辑:我们的电子邮件服务器兼作 DNS 服务器。这是否可能为垃圾邮件攻击打开漏洞?
答案1
首先,您需要阻止垃圾邮件。a-
将防火墙设置为不是允许除电子邮件服务器之外的出站 SMTP/POP。b-
将您的邮件服务器设置为不是允许出站中继。
然后,您需要找到有问题的机器。1-
查看防火墙日志,查看哪些机器实际上正在尝试发送出站邮件并被阻止。这些机器已被感染。2-
确保每台机器都有当前的 A/V,并对每台机器进行彻底扫描。3-
您可能需要在每台机器上实施 Windows 防火墙。4-
如果仍未找到,您将需要使用嗅探器。
注意:我不认为同一台服务器上的 DNS 和电子邮件是个问题。
答案2
问题可能是您的 Exchange 服务器允许中继。请确保该设置已关闭或仅设置允许通过该服务器中继的 IP。您的网络设计应仅允许 Exchange 服务器通过端口 25 将流量发送出您的网络。
大多数垃圾邮件机器人使用端口 25。一旦您完成这样的设置,那么如果任何其他机器尝试通过端口 25 发送,它将显示在防火墙日志中。
祝你好运!
答案3
- 您应该嗅探您的网络流量。有许多不错的工具可用,从类似于 tcpdump 的普通数据包转储到精美的 GUI 可视化应用程序。通常,您需要:a) 插入交换机上的特殊端口,b) 配置另一个端口以查看所有流量,或 c) 从防火墙/路由器进行嗅探。首先,只需专注于从任何不是 Exchange 服务器的机器查找到外部世界的 SMTP 流量。稍后,您应该检查所有流量以查看是否还有其他事情发生:例如,来自某人的机器的 IRC,而这个人甚至不知道 IRC 是什么。
- 用通俗易懂的语言写出应允许哪些流量的说明出去您的网络,并在防火墙/路由器上实施出站规则,并进行日志记录。您会惊讶于它的效果。这也意味着你知道何时发生不好的事情前您是从外面听到的!
答案4
您的数据存储在哪里?硬件是否基本相同?对它们全部进行重新映像可能是最简单的方法。