查看: 8371|回复: 116
|
[原创]长假后的挑战(全文完)
[复制链接]
|
|
一. 电邮主机被黑的梦魇
话说jangancari 的公司放长假, jangancari 在家赶功课。。。
,怎么电邮主机进不到? 不是吧, 才几天没见它, 它就扭计了。 。
驱车到公司 , 看看电邮主机 。。 哗! 不得了了!!!!!
竟然看到。。。。
(原文忘了, 这个是自己凭记忆重写出来的)
怪不得啦。。。幸好它没有执行 Format C: 。
赶紧上Windows Update 去装补丁。 咦。。 竟然出问题, 无法自动装置补丁。 。
只好自己摸索, 查查看哪一个是Windows 2000最新的一些补丁, 自己手动全部下载装上去。
装上了以后, 再上Windows Update , 可以自动搜寻了。。 没critical update 了。
呼。。松了口气 。。执行防毒软件扫描, 让它自动扫描和删除病毒。 。 大功告成。 。没等它扫描完毕就。 。回家!
殊不知, 这才是噩梦的开始。。。
未完待续
[ Last edited by jangancari on 12-6-2005 at 12:00 AM ] |
|
|
|
|
|
|
|
发表于 7-1-2005 02:06 PM
|
显示全部楼层
哇.....酱严重的BUG你竟然没PATCH?.....
吾死都一身残.... |
|
|
|
|
|
|
|
楼主 |
发表于 7-1-2005 02:43 PM
|
显示全部楼层
二. 黑名单榜上有名
第二天, 在家试试用mail , 没问题 。。 很好。 心想:“应该解决了吧 。。”
当天晚上 。。。
送了一个电邮到mncc M alaysian N ational C omputer C onfederation 询问关于奖学金的东西。
咦!竟然那么快就有回复?
什么意思嘛, email被弹回来?!!岂有此理?一看错误讯息, 丈八金刚摸不着头脑 ,什么东东?没有看过的??!!
错误讯息如以下
<<< 550 5.7.1 Mail from xx.x.xxx.xxx.xxx rejected, see <http://openrbl.org/?xxx.xxx.xxx.xxx>
(那xxx.xxx.xxx.xxx是电邮主机 的IP .. , 不可以透露 呵呵)
我到openrbl.org看看 。。 惨了 。。 我们的电邮主机 被列入Internet世界里的黑名单 。。而且是很多个团体都把我们列入黑名单了 。。
只好到一个个网站去, 把电邮主机的黑名单一一拿掉 , 最后有一个竟然说不能拿掉, 要等到7天内没有spam 的记录才会自动从黑名单里删掉。。
天啊 。。 竟然这么没天理的事会发生在我身上 。。。
未完待续
[ Last edited by jangancari on 8-1-2005 at 02:49 PM ] |
|
|
|
|
|
|
|
发表于 7-1-2005 03:24 PM
|
显示全部楼层
|
|
|
|
|
|
|
发表于 7-1-2005 06:30 PM
|
显示全部楼层
|
|
|
|
|
|
|
发表于 8-1-2005 09:52 PM
|
显示全部楼层
jangancari兄,等着你的续集了,不要放飞机哦。 |
|
|
|
|
|
|
|
发表于 8-1-2005 10:43 PM
|
显示全部楼层
|
|
|
|
|
|
|
发表于 9-1-2005 01:05 AM
|
显示全部楼层
Windows 2000 server security 是不是 比较 弱.......
我公司的server 前几天 也无端端的中 病毒.......都查不出那里来的...........
[size=-2]
[ Last edited by enry98 on 9-1-2005 at 01:23 AM ] |
|
|
|
|
|
|
|
楼主 |
发表于 9-1-2005 02:37 AM
|
显示全部楼层
三. 电邮主机不行了?
知道要等七天才可以从黑名单里除去, 心想:“反正下星期都没做工, 就等等吧, 我也不能作什么 ”。
当时已经很夜,当下决定先睡个觉,过后再看看如何。
第二天 。。。。
早上吃了早餐后, 上佳礼逛逛,顺便下载电邮。 哇老野 。。 电邮主机进不到 。。, 尝试上webmail , 也不行。
再用PING 来测试, Request Time Out . 呃 。。。。。。
如果写故事可以用 For Loop 的话 , 接下来的故事就是第二个回圈 ,重新用回第一章的片断
驱车到公司 , 看看电邮主机。。 哗! 不得了了!!!!!
竟然看到。。。。
这一次看到的不是第一章的东西了, 这一次看到的是电邮主机竟然被Shutdown 了??!!! 有没有搞错啊?!?!
未完待续
[ Last edited by jangancari on 8-1-2005 at 02:49 PM ] |
|
|
|
|
|
|
|
发表于 9-1-2005 10:56 AM
|
显示全部楼层
|
|
|
|
|
|
|
楼主 |
发表于 9-1-2005 12:47 PM
|
显示全部楼层
max5007 于 8-1-2005 08:56 PM 说 :
好可怜哦。。你的上头没有瓜瓜叫吗?
敢呱呱叫我就逼他们买防火墙, 他们不要买就叫他们安静 。。 呵呵。吃的咸鱼抵得渴, 要省钱就要承受被骇的高可能性 。 |
|
|
|
|
|
|
|
楼主 |
发表于 9-1-2005 12:49 PM
|
显示全部楼层
四. 奇怪的Icon在System Tray
重启电邮主机 。。 呼!!! Heng 啊 (不是Hang)。。幸好 。。 还可以boot up 到login screen.
试试用电邮, 没问题。 哈哈 。。 可是, 为什么会自己Shutdown 的呢?
再看看mail server 的log , 有没有搞错, 都没有人来公司, 那么多mail 送的?
一定是中Trojan /backdoor 了。。。, 查看Registry 里的Run 和 Run Service , 怎么多了奇怪的entry ..我的经验告诉我, 这是病毒。。。
突然间, 我发现一个奇怪的Icon在System Tray 出现 。。 我Right Click 看, Menu 出来, “exit” 的选项竟然是不能选的。 看一看About , Dame Remote Control vxx.xx(我忘了真正的全名及version). 那还得了, 被人放置了backdoor.
明明已经patch 了Windows , 为什么还可以进来的?
不过这个骇客也太不小心了, 竟然backdoor还放在system tray 。
执行防毒软件扫描, 果然很多trojan , 有一个叫BAT的病毒, 其它不是很清楚。 。但是却没有扫描到这个backdoor.
我只好动手查看Registry 里的Run 和 Run Service , 自己手动清楚这个软件。可是, 我看到这个backdoor好像是一个remote control application 而不像是一般破坏性的backdoor。 我怕是同事安装, 好在假期里来远程遥控电邮主机。 我只好将之改名, 删掉registry的entry. 还改掉它的INI configuration file 。 同时, 把一些不知名的entry 也删除掉。
重新启动 .. 哈哈 。。 奇怪的Icon不见了 。。, 再重新 扫描病毒, OK , 搞定!
你们一定以为这个故事就要结束了。。 我告诉你 。。
这只是个序幕 。。
未完待续
[ Last edited by jangancari on 8-1-2005 at 10:51 PM ] |
|
|
|
|
|
|
|
发表于 9-1-2005 10:51 PM
|
显示全部楼层
没有proxy server吗?? 之前公司也是时常中virus...一中就大部分的电脑都会不停的send packet to server.导致网络超级慢..现在每架电脑都自己装防火墙(zom alarm) 呵呵真的有点莫名其妙.... |
|
|
|
|
|
|
|
发表于 10-1-2005 12:08 AM
|
显示全部楼层
哗,那么危险的?!怎么我公司的server没有中过这些virus, backdoor的攻击? :p 可能有但是我不知道罢了。 |
|
|
|
|
|
|
|
发表于 10-1-2005 05:17 AM
|
显示全部楼层
|
|
|
|
|
|
|
楼主 |
发表于 10-1-2005 05:59 AM
|
显示全部楼层
enry98 于 8-1-2005 11:05 AM 说 :
Windows 2000 server security 是不是 比较 弱.......
我公司的server 前几天 也无端端的中 病毒.......都查不出那里来的...........
我怀疑Windows 2000 有新的漏洞, M$ 还没发现的, 新病毒入侵。
miao1978 于 9-1-2005 08:51 AM 说 :
没有proxy server吗?? 之前公司也是时常中virus...一中就大部分的电脑都会不停的send packet to server.导致网络超级慢..现在每架电脑都自己装防火墙(zom alarm) 呵呵真的有点莫名其妙....
Proxy Server 只是Internet 代理主机, 不是防火墙。 我公司没有防火墙, 所以电邮主机和Proxy 主机是处于很危险的情况的。
Zone Alarm 只是免费给私人用的, 公司用要付费。
Sirius 于 9-1-2005 10:08 AM 说 :
哗,那么危险的?!怎么我公司的server没有中过这些virus, backdoor的攻击? :p 可能有但是我不知道罢了。
你们的防火墙应该很好咯。。
astral 于 9-1-2005 03:17 PM 说 :
对了... 没有用ISA吗?
呃。。 你指的ISA 是什么? 对不起, 网络安全不是我的强项。 |
|
|
|
|
|
|
|
发表于 10-1-2005 07:30 AM
|
显示全部楼层
jangancari, 你对registry好像很熟悉哦。。。。
还是如果中了病毒或被hack, 都会在Run service 跑的? |
|
|
|
|
|
|
|
发表于 10-1-2005 09:14 AM
|
显示全部楼层
ISA server 是个不错的防火墙兼proxy~ 而且也可以用来control bandwidth~ 不错的说... |
|
|
|
|
|
|
|
发表于 10-1-2005 11:57 AM
|
显示全部楼层
johe07 于 10-1-2005 07:30 AM 说 :
jangancari, 你对registry好像很熟悉哦。。。。
还是如果中了病毒或被hack, 都会在Run service 跑的?
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Window > CurrentVersion > Run
这个地方可以控制每当系统启动时自动开跑的program,对照一下你在这里的list与你的system tray就明白的了. 当然这只是其中一个地方.
|
|
|
|
|
|
|
|
发表于 10-1-2005 01:06 PM
|
显示全部楼层
|
|
|
|
|
|
| |
本周最热论坛帖子
|