- PR -

悪意のユーザーが弊社のメールサーバーに仕込んだ

1|2 次のページへ»
投稿者投稿内容
未記入
会議室デビュー日: 2005/12/15
投稿数: 5
投稿日時: 2005-12-15 14:46
皆さん、はじめまして。

弊社のメールサーバーに、被害が遭われました。
昨日(14日)から、<kids-think@xxx.co.jp>という存在していないメールアドレスから、ずっと外部に送信しようし続いています。しかも、送信先のアドレスが、どうもなんとかの仕組みでランダム作成されたものだと見られます。こういう送信のトライをし続けると、メールサーバーのメモリがなくなり、ダウンになってしまったのです。

今の現象からみると、なんとかのTroy Virusが仕組んでいると考えされます。
一応解決の考案としては、このユーザーの受信送信機能を禁止し、後は悪の源を駆除します。
皆さんが、そのユーザーの禁止の仕方またはそのウィルスの駆除方法をご存知になれば、教えていただきませんか?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-12-15 14:56
分析/調査を行う人が、原因となる点を、
「漏れなく」「早急に」見極められるケースを除いて、
別サーバを構築して入れ替えるべきだと思いますよ。
その辺の基本的な対処方針は、インシデントレスポンスという分野で
情報を探してください。
http://www.atmarkit.co.jp/fsecurity/rensai/inci04/inci01.html


「漏れなく」
漏れがあれば、再度また同じことやられるわけですから。
で、よほどその手の技術がある人でも、結構難しいです。

「早急に」
時間かかるんだったら別立てした方が早いし。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-12-15 14:58
こんにちわ.

maillog を参照して送信元を特定する.
次にその送信元からの SMTP の接続を何らかの方法で遮断する.
その後,徐にその送信元の管理者に連絡する.

OS や MTA によってやり方が違うと思います.
それらの情報が書かれていないと具体的な対応方法は提示できないと思います.
なんとなく日本語がちょっと変?な気が...
日本人の方ではない?

以上,ご参考までに.
未記入
会議室デビュー日: 2005/12/15
投稿数: 5
投稿日時: 2005-12-15 15:18
ご返事ありがとうございました。

Maillogをチェックしました。毎回の送信先が違っています。ランダムで決まったと思います。

この仕事を担当していますが、確かに日本人ではない。:->
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-12-15 15:38
引用:

未記入さんの書き込み (2005-12-15 15:18) より:

Maillogをチェックしました。毎回の送信先が違っています。ランダムで決まったと思います。

送信先ではなく送信元を確認しないと,次から次へと飛んできますよ.
まずは発信元を確認しないとならないでしょう.
source を確認したら,その source からの通信を遮断すれば,
とりあえずその時点からの無駄な配信は止められるでしょう.
引用:

この仕事を担当していますが、確かに日本人ではない。:->

あ,ヤッパリ.
ちゃんと意味は通じていますよ.
ガンバッてください.
未記入
会議室デビュー日: 2005/12/15
投稿数: 5
投稿日時: 2005-12-15 15:55
ご返事ありがとう。

引用:

送信先ではなく送信元を確認しないと,次から次へと飛んできますよ.
まずは発信元を確認しないとならないでしょう.
source を確認したら,その source からの通信を遮断すれば,
とりあえずその時点からの無駄な配信は止められるでしょう.


: jBEFDeN32302: <kids-think@xxx.co.jp>... User unknown
: jBEFDeN32302: from=<>, size=5383, class=0, nrcpts=0, proto=ESMTP, daemon=Daemon0, relay=mx.bekkoame.ne.jp [202.231.195.3]
: NOQUEUE: connect from [61.211.236.11]

上記のように、Maillogの中でこんなレコードがいっぱいありました。例えば、上記のレコードから、送信元を如何確認できるか?できれば教えていただきませんか?

実は、本職はSAとプログラミングです。会社でもメールサーバーに詳しい人がいないから、出頭を余儀なくされました。
未記入
会議室デビュー日: 2005/12/15
投稿数: 5
投稿日時: 2005-12-15 16:06
OS は、Red Hat 6.1です
未記入
会議室デビュー日: 2005/12/15
投稿数: 5
投稿日時: 2005-12-15 16:22
sendmail 8.11.6 を使ってます。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)