Re: [问题] always_bcc会有备不到的信吗?

楼主: JCC (JCC )   2014-09-10 10:24:37
我去看了一下LOG
发现port53/udp活动濒繁
一堆不同的ip连到这个port
一秒10次到好几十次之间
请问这样子有可能是怎么样的状况呢?
※ 引述《JCC (JCC )》之铭言:
: 今天中华电信打来说有外国投诉我这边乱发垃圾信
: 他有跟我讲一个ip 我没仔细听 反正我就认定是我的linux mail server出问题了
: 然后一看mail server那条线 果然从八月底开始有个1mb左右的流量固定往外送
: 这台上次webmail被猜出密码后被盗发过一次 我先把webmail整个目录搬走
: 后来看了webmail的log也没啥东西
: 用mailq看有些东西卡住 清掉后就好了 也没啥东西一直出现
: 后来设定了always_bcc把所有信都copy起来一份
: 结果一小时顶多几十封 都是正常值 没有爆送东西出去
: 有没有可能被拿去当发垃圾信但我这边无法把他copy一份??
: 上次才几十k的流亮我就被rbl列黑名单了
: 这次查了rbl还没有被列
: 但linux这台还是有在送东西出去 把他停机后流量就没有 所以确定是他送的
: 这台除了当mail server之外就只有当web server放个网页
: 网页流量应该很小的
: 我的防火墙是fortigate 80c 我有用synology的syslog收他的log
: 这几天是爆大量没错 但实在不知该怎么分析那log啊
: 请问还有可能是啥原因呢? 有没可能那个通知的电话跟本是诈骗
: 因为他讲话听起来怪怪的 很诈骗的声音 但他只问我email 我就跟他讲想说也不会怎样
: 他说会再寄资料给我我也没收到 我去问企客经理我这到底有没乱送信也还没有回应
: 但我有个流量一直出去 到底该怎么去看这个是什么东西呢?
: 我这个LINUX就当MAIL跟WEB SERVER DNS 请问我该开哪些PORT给他就好?
作者: chang0206 (Eric Chang)   2014-09-10 10:32:00
如果有开DNS Service,有流量是正常的啊
楼主: JCC (JCC )   2014-09-10 12:59:00
这台本身是DNS SERVER 但是流量一向都很小 是这两周突然飙高大约上传的量有几百K到1MB DNS一般不会这么高吧
作者: asadfish (老二比领带长)   2014-09-10 14:23:00
用pflogsumm分析一下maillog…然后DNS看看recursion是不是全开了…
楼主: JCC (JCC )   2014-09-10 14:32:00
后来联络上中华电信 原来不是这台LINUX出问题 是一般USSER上网的IP 不过这台LINUX到底为啥有那样流量还是搞不清楚 现在得另外想办法去抓是哪一台电脑了\Y
作者: noluv   2014-09-16 11:41:00
其实dns被查也有可能是发信出去被对方反查,也有可能是歹人在try你的机器。没有log有可能是被骇之后发信完清掉log,或是你用的mail server的log不够完整…既然确认有不明流量,应该还是要处理. 被骇或是被盗mail帐号的可能性都有,要查PORT的话mail 25 110 143有支援加密要另开web 80 dns 53哦 是user的pc的话那就是被骇入装东西,被当zombie发信了

Links booklink

Contact Us: admin [ a t ] ucptt.com