與發信蠕蟲對決經驗分享

話說前幾天,接近中午吃飯的時候有同事反映說不能寄信,就跑去他電腦幫忙看。

按照我除錯的習慣:

telnet 公司MailServer 25 、telnet msa.hinet.net 25

都是能連線,但是螢幕上沒有登入的回應。

接下來打開 Outlook ,依照這篇「[Outlook]啟用紀錄 追蹤收發郵件的問題」啟用追蹤功能來看,連線紀錄看起來是正常連到 Server ,但是卻被 Server 拒絕連線,接著公司的老大也反映無法寄信,就先回去測試我自己,的確我也沒辦法寄信,首先猜想會不會像前次一樣,有人中毒了,然後猛發封包造成上傳封包滿載,一看,果然有兩個問題 IP 上傳封包很大,有一個問題 IP 連線數過高,先把這三個 IP 封鎖 5 分鐘測測看,仍然不能連線,就先跟著大夥出去吃飯了。

吃完飯回來以後,其他網路服務都正常,但仍然不能寄信,用 telnet msa.hinet.net 25 變成完全不能連線,接著我測了多家網域的 port 25 ,由於標準 SMTP 是走 port 25 溝通,所以測了幾台 Mail Server 都不通時 (例如考選部寄發通知信的 telnet mail.moex.gov.tw 25),我判定應該是網路連線被擋,確認路由防火牆內沒有被加入規則後,重開路由再試看看,當然仍然完全不能連線。

我印象中我以前忘了不知道幫哪個單位處理不能寄信問題時,曾經碰上被 HiNet 斷網的,所以我就打 0800080412 去問,那個接電話的實在很菜,我已經跟他說我用 telnet 測,就直接連不上了,他還一直問我是哪個 Outlook 版本… 只好換個方法問,我說:「我記得 HiNet 有個網址,可以看哪個 IP 因為廣告信被停權,這個網址在哪?我想要確認一下。」

http://spam.web.hinet.net/black_list_fixed.html

果然,公司的 eMail 被擋,然後我就問了一下原因跟復權的申請步驟。HiNet 說在 10 月底已經有發信通知,說有被檢舉發廣告信,然後周一有發通知信說會被停權,申請復權要跟 Spam 小組聯絡,給了我一支電話。這可糗了,HiNet 說發的 eMail 信箱完全沒人知道帳號密碼,是申請 HiNet 附贈的 eMail ,但是公司有另外租用信箱服務,所以根本沒人用,也沒人知道這個信箱,要到這個網址去重設新的密碼:

http://msweb.hinet.net/USER/forget_password.htm

又糗了,這邊需要輸入連線密碼,連線上網密碼卡也沒人留下來,也沒交接,連附掛電話是幾號都不知道,HiNet 說這樣要去臨櫃辦理,要帶負責人印章、公司章及最近的繳費收據作為證明…

山不轉路轉,路不轉人轉,我就只好去路由主機偷連線密碼出來。熟 dhtml 的都知道怎樣偷密碼,這邊就不教壞菜鳥群了~

連入 HiNet WebMail 後,看了兩封信,第一封10月底的信件是說有人檢舉發送主題為「Hello」的郵件,請我們內部檢查。第二封是說上周仍然觀查到持續發送廣告郵件,將於這天開始停權到12月上旬。由於 WebMail 上面這兩封郵件都有迴紋針標記,但是讀不到附件,所以先跟 Spam 小組聯絡,請對方將問題郵件寄過來,這樣我可以依據信頭來追是哪台發的,此外登記一個我最近才申請的列入職務交接公司信箱做為聯絡之用,Spam 小組要求要先排除問題才能解除封鎖,在等 Spam 小組發信過來之前,先把每台電腦的 IP 及電腦名登記起來。找到目標電腦後,祭出這篇「iThome 電腦報 306 期」提到的微軟免費工具,TcpView 及 Process Explorer,首先先用 TcpView 找出是哪些程式在連網路,發現是 updates.exe 這隻程式嫌疑很大,再用 Process Explorer 找出這隻程式的實體路徑跟命令列看看,這隻程式放在 %AppData%\亂數目錄\updates.exe 下,顯然不是正常程式的位置,之後搜尋註冊資訊檔,清掉相關資料後,把相關程式砍掉,這台有裝某家一年免費的防毒程式,看起來到期很久了,之後上網搜尋,看起來應該是 2010/9/10 改版的這隻會發 eMail:

http://www.eranger.com.tw/virus.php?v_id=818

http://about-threats.trendmicro.com/Malware.aspx?language=tw&name=WORM_MEYLME.B , http://www.trendmicro.com.tw/solutionbank/2/details.asp?id=36459

另外有一台用 TcpView 檢查是 Skype 一直在發送封包,但是把 Skype 關掉後,變成是 System 發送封包,怕是 RootKit 等級的… 但是那台電腦急著用,只好先放行,還有一台電腦是另一位主管的,連線數過高,但不確定是不是因為不能寄信時,他一直重寄造成,所以列入觀察名單。

HiNet 解除封鎖後,還是一直不能寄信,打電話去 0800080412 問,對方說要把小烏龜關掉重開… 擋的時候都不需要關機重開,為啥解鎖要關機重開?只好乖乖的關小烏龜重開,重開完就正常了。

廣告
Categories: 資訊管理, 技術分享 | 發表留言

文章分頁導航

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

在WordPress.com寫網誌.

%d 位部落客按了讚: