我帮助管理一个由大约 40 台计算机组成的小型网络。我们正在运行 Exchange 2003 邮件服务器。
找出哪台机器被垃圾邮件机器人感染的最佳方法是什么?我尝试在每台计算机上安装防病毒和反恶意软件程序。扫描计算机后,我确实发现了一些包含大量恶意程序的计算机,并认为我们的问题已经解决。然而,我们的域不断被 DNS 黑名单阻止,我必须每天删除它们,以便我们的客户接收我们的电子邮件。
注意:我们正受到 Directory Harvest 和 Backscatter 战术的攻击。
编辑:我们的电子邮件服务器兼作 DNS 服务器。这可能会为垃圾邮件攻击打开漏洞吗?
首先,您需要停止垃圾邮件。
a- 将您的防火墙设置为不允许出站 SMTP/POP,除非来自电子邮件服务器。
b- 将您的邮件服务器设置为不允许出站中继。
然后,您需要找到问题机器。
1-查看防火墙日志以查看哪些机器实际上正在尝试发送出站邮件并被阻止。那些机器被感染了。
2- 确保每台机器都有当前的 A/V,并对每台机器进行彻底扫描。
3-您可能希望在每台机器上实施 Windows 防火墙。
4- 如果仍未找到,您将需要使用嗅探器。
注意:我不认为同一服务器上的 DNS 和电子邮件是一个问题。
问题可能是您的交换服务器允许 RELAY。确保该设置已关闭或仅设置允许通过该服务器中继的 IP。您的网络设计应该只允许交换服务器通过端口 25 将流量发送出您的网络。
大多数垃圾邮件程序使用端口 25。一旦您进行了这样的设置,那么如果任何其他机器尝试通过端口 25 发送,它将显示在防火墙日志中。
祝你好运!
如果您有防火墙,一个简单的解决方案是阻止除 Exchange 服务器之外的所有出站端口 25 流量。个别机器可能会尝试自行发送垃圾邮件。将块放置到位后,检查防火墙日志以查看哪个 IP 正在尝试和失败,以命中端口 25 出站。
您的数据存储在哪里?硬件基本相同吗?重新成像它们中的很多可能是最容易的。
我以前使用过一个名为 Showtraf 的程序来监控网络上的流量。我们之前遇到过类似的问题,它显示了在端口 25 上发送大量数据的 ip。
可在此处获取 - http://demosten.com/showtraf/