操作系统:win2003 sp1
邮件服务器:Exchange 2003 SP2
处理周期:4小时
故障现象:
Exchange服务器队列中存在大量的外发垃圾邮件,队列多达1000多个,垃圾邮件总数近10万封,且均为占用率接近100%,内存剩余不足10M,员工收发邮件已经无反应。
处理步骤:
1.第一反应就是服务器被“劫持”了,立刻通过fortigate-100A防火墙查看目前对25端口的连接,并且通过dns定位,发现了几个IP地址来自美国,明显不正常,记录下这些IP,然后通过防火墙策略阻断这些IP对服务器的访问。
2.再次查看邮件服务器的流量,这次正常多了,但是队列中的垃圾邮件仍然在增长,BadMail目录下文件数十分庞大,进入Exchange系统管理器,停掉【默认SMTP虚拟服务器】,进入Queue目录,删除正在向外发送的垃圾邮件,重新启动默认SMTP虚拟服务器,此时队列里已经“清爽”多了,但是仍有几个顽固地址垃圾邮件数还在增长。
3.怀疑中继功能可能配置错误,立刻检查了下,没发现问题,保险起见,重新配置了一遍,又重启了SMTP服务。
4.Exchange系统管理器-路由组-连接器中,新建【临时SMTP连接器】,将所有外发邮件转移到99.99.99.99这个无效IP,重启SMTP服务后,新建的【临时SMTP连接器】队列开始起作用,不断刷新队列,直到10分钟后,该队列垃圾邮件数趋于稳定,这时直接用查找功能,全部delete,然后删除刚才新建的“临时SMTP连接器”,再次重启SMTP服务。
5.重命名BadMail目录(不要尝试进入后删除文件,因为数量太大,服务器会长时间无响应),再新建个BadMail目录。
6.再次查看Exchange系统管理器中队列信息,OK,一切正常。
7.打开smtp传输日志:Exchange系统管理器-管理组-第一个管理组-服务器-MAIL,右键-属性-诊断日志记录,选左侧的MSExchangeTransport,在右侧选择SMTP协议,等级选最高,剩下的就是查看系统的应用程序
日志,看看哪些账号有验证的异常。
最后总结一下,这次事件表明,新的攻击方式已经不仅限于被开放中继,很可能是某个合法用户账号被窃取或者枚举了密码,通过合法用户进行垃圾邮件发送是比较难预防和定位的,很多员工建立账户时喜欢用123这样的简单密码,这就留下了很大的隐患。而且,这次大量外发垃圾邮件甚至被ISP的上级部门监测到,直接打电话找到了我们,呵呵。
补充:
凌晨1:05分,再次出现了垃圾邮件队列,同时系统的应用程序事件里已经检测到来源为“SMTP PROTOCOL”,ID为1706和1708的事件日志,定位了被盗用的邮件帐号,处理后,故障修复!
阅读(3231) | 评论(0) | 转发(0) |
