环境:Plesk v12,最新的 Windows Server 2012 SmarterMail
我的网络托管服务提供商告诉我,几周前有人入侵了我的服务器并攻击了各种邮件服务器(Gmail、Yahoo 等)。
我与公司合作解决了这个问题,基本上是:* 更改所有密码 * 将服务器和所有软件更新到最新版本 * 打开 Windows 防火墙,不知何故被禁用
完成这些任务并等待几周后,我终于从所有黑名单中退出,并恢复了我的 MXToolbox 评级。
我今天发现微软已将我的 IP 列入黑名单(免费版 MxToolbox 未报告)。他们说几天前(8 月 28 日和 8 月 29 日)仍有命名空间挖掘活动,但没有提供任何关于他们如何知道、如何预防或我询问的任何其他信息。几分钟前他们回复了我的问题,称经过进一步调查,他们将解除封锁。
问题:
命名空间挖矿是如何发生的?这是黑客发现或劫持电子邮件账户的结果吗?
除了检查日志之外,我如何确定是否存在命名空间挖掘?
我该如何防止命名空间挖掘?通过安装专业的安全软件(例如第三方防病毒/防火墙/电子邮件安全软件)可以吗?
我解决了当前的问题,但我想知道如何找出我是否有这个问题。在这种情况下,我尝试向我的 Microsoft 帐户发送电子邮件并收到了失败报告。应该有比意外发现问题更好的检查方法。
答案1
据我所知,“命名空间挖掘”一词是指在域中生成随机电子邮件地址并尝试发送邮件以查看该电子邮件地址是否真的存在。 我在这篇博文中找到了定义。
因此,有一名黑客入侵了您的服务器并在该服务器上运行脚本,试图找到向 Hotmail 发送垃圾邮件的地址。
到目前为止,您所做的就是更改密码、更新软件并打开防火墙,但您还没有尝试删除脚本或驱逐黑客。您的问题并非特定于命名空间挖掘。黑客在做什么并不重要,如何摆脱他的说明都是一样的。运行 AVG 不太可能奏效,即使奏效,也更不可能修复允许他进入的漏洞或找到他可能创建的允许他重新进入的任何后门。
该链接问题中的建议很好。
我突然想到,你在问题中问了三个问题,而我只回答了其中一个。
命名空间挖矿是如何发生的?这是黑客发现或劫持电子邮件账户的结果吗?
它不涉及服务器上的电子邮件帐户。甚至不需要您的服务器具有电子邮件功能。它只是在您的服务器上运行的一个脚本,可以生成电子邮件地址的合理“本地部分”,然后与 Hotmail 通信以测试生成的电子邮件地址。
除了检查日志之外,我如何确定是否存在命名空间挖掘?
我会尝试检查 TCP 流量。如果您安装了监控系统(例如 Cacti、Zabbix、Munin、Nagios 或许多其他系统),那么将提供带宽图表,甚至可能按目标 IP 地址进行细分。您还可以在服务器上运行网络嗅探软件(例如 Wireshark)来查看正在发送的流量。命名空间挖掘看起来很像发往 Hotmail 的正常 SMTP 流量,但它不会显示在正常 SMTP 日志中。您可能会看到来自 Hotmail 的大量错误,指出请求的用户不存在。