通过上期案例分析我们发现网络中的邮件服务器的状况不太安全,那么,是否还有存在其他问题呢?
由于邮件服务器的数据量很大,每天有超过10GB的流量,因此我们决定使用采样分析的方法对邮件服务器进行数据采样分析。我们选择上午9-10点之间数据(该单位9点上班,邮件系统比较繁忙)。然后选择网络应用中的SMTP进行挖掘分析,在查看会话时我们发现IP10.XX.184.35的会话数很多,在近1小时内该IP的SMTP会话到达几百个。明显的异常现象。由于我们选择将该IP的一上午时间的数据包全部下载分析。
首先我们打开“tcp会话”看到最多的是10.XX.184.35和mail服务器10.XX.4.3之间的13个数据包的会话。
图 1
而且该IP还向10.XX.4.0发起请求,但显然这种IP是不会存在的,所以只有三次SYN包,但没有任何回应。该IP在1分钟内就能发送近10封内容相差不多的邮件,而且这种邮件收信者多是比较大的门户网站。如图:
图 2
统计发现,该主机在一上午时间内发送了超过2000封类似的邮件。而这么高频率的发送显然不是人工所为。这种现象应该是该主机中了僵尸程序,然后僵尸程序自动向其他网站发送大量的垃圾邮件所致。
建议对该主机进行杀毒后再接入网络。 |
发表于 2016-5-6 17:17:15
