มีปัญหาโดนแอบใช้ Email Reply ตั้งค่า Firewall หรือปรับค่าอย่างไรดีครับ

xsoftz · July 10, 2012, 2:33pm

สวัสดีครับ

[FONT=arial]Time: Tue Jul [/FONT]10 14[FONT=arial]:31:30 2012 +0700[/FONT]
[FONT=arial]Type: AUTHRELAY, Remote IP - 112.67.36.88 (CN/China/-)[/FONT]
[FONT=arial]Count: 110 emails relayed[/FONT]
[FONT=arial]Blocked: Permanent Block[/FONT]

[FONT=arial]Sample of the first 10 emails:[/FONT]

[FONT=arial]2012-07-10 14:16:27 1SoUgL-0002da-Aj <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(btlptcfjf) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial] S=6036 id=[/FONT][FONT=arial]2E89D500E849FA3C55DD047C5438D9[/FONT][FONT=arial]57@btlptcfjf T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for[/FONT]2210017594@qq.com[FONT=arial] [/FONT]1836644246@qq.com[FONT=arial] [/FONT]2501069036@qq.com[FONT=arial] [/FONT]364562601@qq.com[FONT=arial] [/FONT]1739620753@qq.com[FONT=arial] [/FONT]993181363@qq.com[FONT=arial][/FONT]2508201275@qq.com[FONT=arial] [/FONT]1539244489@qq.com[FONT=arial] [/FONT]1538592099@qq.com[FONT=arial] [/FONT]2316630127@qq.com[FONT=arial] [/FONT]1357033121@qq.com
[FONT=arial]2012-07-10 14:18:33 1SoUiN-0002fk-Vd <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(zdxerkh) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial] S=6032 id=[/FONT][FONT=arial]8B08749CC5AC389FB1041D4C01B419[/FONT][FONT=arial]F3@zdxerkh T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for[/FONT]1277205296@qq.com[FONT=arial] [/FONT]918618002@qq.com[FONT=arial] [/FONT]780239854@qq.com[FONT=arial] [/FONT]2463053378@qq.com[FONT=arial] [/FONT]727060299@qq.com[FONT=arial] [/FONT]1969541814@qq.com[FONT=arial][/FONT]1647541446@qq.com[FONT=arial] [/FONT]1764528162@qq.com[FONT=arial] [/FONT]414509864@qq.com[FONT=arial] [/FONT]35152313@qq.com[FONT=arial] [/FONT]4009704@qq.com
[FONT=arial]2012-07-10 14:19:00 1SoUim-0002g4-9w <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(axh) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial]S=6024 id=[/FONT][FONT=arial]7ED317642AB48E5E4108781AE970A4[/FONT][FONT=arial]09@axh T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for [/FONT]1363027095@qq.com[FONT=arial][/FONT]799074670@qq.com[FONT=arial] [/FONT]2462663678@qq.com[FONT=arial] [/FONT]375042598@qq.com[FONT=arial] [/FONT]1695151406@qq.com[FONT=arial] [/FONT]245189582@qq.com[FONT=arial] [/FONT]593167623@qq.com[FONT=arial][/FONT]1638649015@qq.com[FONT=arial] [/FONT]2577189677@qq.com[FONT=arial] [/FONT]906736509@qq.com[FONT=arial] [/FONT]37177025@qq.com
[FONT=arial]2012-07-10 14:21:52 1SoUlZ-0002lr-Hu <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(qxbwcp) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial] S=6030 id=[/FONT][FONT=arial]BDDD6B4721DF27BB163822D41238B2[/FONT][FONT=arial]7E@qxbwcp T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for[/FONT]1185576975@qq.com[FONT=arial] [/FONT]2529741616@qq.com[FONT=arial] [/FONT]28152657@qq.com[FONT=arial] [/FONT]247684463@qq.com[FONT=arial] [/FONT]1902028058@qq.com[FONT=arial] [/FONT]754221979@qq.com[FONT=arial][/FONT]347725942@qq.com[FONT=arial] [/FONT]876617051@qq.com[FONT=arial] [/FONT]1499138515@qq.com[FONT=arial] [/FONT]1064616997@qq.com[FONT=arial] [/FONT]1634208635@qq.com
[FONT=arial]2012-07-10 14:25:35 1SoUp6-0002pM-AN <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(ivi) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial]S=6024 id=[/FONT][FONT=arial]51B804F528F5F72F1DD942CCCDBA74[/FONT][FONT=arial]59@ivi T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for [/FONT]1577220776@qq.com[FONT=arial][/FONT]348581431@qq.com[FONT=arial] [/FONT]1229114621@qq.com[FONT=arial] [/FONT]804687109@qq.com[FONT=arial] [/FONT]770184586@qq.com[FONT=arial] [/FONT]1242230907@qq.com[FONT=arial] [/FONT]447597687@qq.com[FONT=arial][/FONT]934554036@qq.com[FONT=arial] [/FONT]382698596@qq.com[FONT=arial] [/FONT]1786591196@qq.com[FONT=arial] [/FONT]1784712102@qq.com
[FONT=arial]2012-07-10 14:25:52 1SoUpP-0002rc-8F <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(hv) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial]S=6021 id=[/FONT][FONT=arial]F7BB499AC8CE232238A3F07B346C9C[/FONT][FONT=arial]63@hv T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for [/FONT]379738647@qq.com[FONT=arial][/FONT]1181070454@qq.com[FONT=arial] [/FONT]775735245@qq.com[FONT=arial] [/FONT]305624025@qq.com[FONT=arial] [/FONT]2398732425@qq.com[FONT=arial] [/FONT]1225012845@qq.com[FONT=arial] [/FONT]755608305@qq.com[FONT=arial][/FONT]1015162367@qq.com[FONT=arial] [/FONT]905607056@qq.com[FONT=arial] [/FONT]704082973@qq.com[FONT=arial] [/FONT]709582567@qq.com
[FONT=arial]2012-07-10 14:26:32 1SoUq2-0002sJ-Mm <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(jthaefjs) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial] S=6034 id=[/FONT][FONT=arial]F006C228627D674F6ED561328A4A21[/FONT][FONT=arial]9E@jthaefjs T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for[/FONT]1586054816@qq.com[FONT=arial] [/FONT]597202932@qq.com[FONT=arial] [/FONT]2352233063@qq.com[FONT=arial] [/FONT]2436058687@qq.com[FONT=arial] [/FONT]470111855@qq.com[FONT=arial] [/FONT]805713637@qq.com[FONT=arial][/FONT]55604521@qq.com[FONT=arial] [/FONT]1260084776@qq.com[FONT=arial] [/FONT]103026075@qq.com[FONT=arial] [/FONT]1593016270@qq.com[FONT=arial] [/FONT]1767170971@qq.com
[FONT=arial]2012-07-10 14:30:59 1SoUuP-00031F-CI <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(ibvru) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial]S=6028 id=[/FONT][FONT=arial]AE1122EA4C138529B8A78237BD5855[/FONT][FONT=arial]E8@ibvru T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for [/FONT]1293198541@qq.com[FONT=arial][/FONT]330592134@qq.com[FONT=arial] [/FONT]342546893@qq.com[FONT=arial] [/FONT]1715700374@qq.com[FONT=arial] [/FONT]157533899@qq.com[FONT=arial] [/FONT]244174712@qq.com[FONT=arial] [/FONT]1321081440@qq.com[FONT=arial][/FONT]1776599383@qq.com[FONT=arial] [/FONT]1151161284@qq.com[FONT=arial] [/FONT]1275137488@qq.com[FONT=arial] [/FONT]495131084@qq.com
[FONT=arial]2012-07-10 14:31:12 1SoUuW-00031E-Aq <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(fokglmak) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial] S=6033 id=[/FONT][FONT=arial]FBCC49482707B38A2B1A239C790ACD[/FONT][FONT=arial]B0@fokglmak T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for [/FONT]769546247@qq.com[FONT=arial] [/FONT]965022746@qq.com[FONT=arial] [/FONT]1655746731@qq.com[FONT=arial] [/FONT]807608687@qq.com[FONT=arial] [/FONT]787579311@qq.com[FONT=arial] [/FONT]953574149@qq.com[FONT=arial][/FONT]490591582@qq.com[FONT=arial] [/FONT]1760736870@qq.com[FONT=arial] [/FONT]121097616@qq.com[FONT=arial] [/FONT]1597227573@qq.com[FONT=arial] [/FONT]1486052776@qq.com
[FONT=arial]2012-07-10 14:31:30 1SoUuu-00031j-DL <= [/FONT]aomvadee@gfct.co.th[FONT=arial] H=(ueju) [112.67.36.88] P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial]S=6025 id=[/FONT][FONT=arial]3F5BB029BB78EF0A88F4D9282CB40D[/FONT][FONT=arial]E5@ueju T="" from <[/FONT]aomvadee@gfct.co.th[FONT=arial]> for [/FONT]819745928@qq.com[FONT=arial][/FONT]1141152185@qq.com[FONT=arial] [/FONT]1393652979@qq.com[FONT=arial] [/FONT]1396669818@qq.com[FONT=arial] [/FONT]1751129007@qq.com[FONT=arial] [/FONT]1071506810@qq.com[FONT=arial][/FONT]1756106969@qq.com[FONT=arial] [/FONT]171515247@qq.com[FONT=arial] [/FONT]2385714055@qq.com[FONT=arial] [/FONT]2521514051@qq.com[FONT=arial] [/FONT]1739063241@qq.com

ThaiTumweb · July 10, 2012, 3:18pm

ดูแล้วไม่ใช่โดน relay นะครับ แต่มัน login มาส่งเหมือนกับลูกค้าปรกติ [FONT=arial]P=esmtpa A=[/FONT]login:aomvadee@gfct.co.th[FONT=arial] แนะนำเปลี่ยนรหัสผ่าน แจ้งลูกค้าให้ตั้งรหัสให้ยากหน่อยครับ หมั่นสแกนไวรัส มัลแวร์พวกนี้ด้วยครับ[/FONT]

xsoftz · July 10, 2012, 3:24pm

อย่างนี้คืออาการ การ Login แบบปกติเหรอครับ ?

ThaiTumweb · July 10, 2012, 3:36pm

ใช่ครับ ถ้า relay มันจะส่งได้เลยโดยไม่ล็อกอิน และ เมล์ต้นทางปลายทางจะไม่เกี่ยวกับเราเลย

xsoftz · July 10, 2012, 3:45pm

เหตุการณ์นี้เบื้องต้นผมได้ตั้ง Firewall ดักไว้แล้ว หรือมีวิธีดีกว่านี้ไหมครับ ?

ThaiTumweb · July 10, 2012, 3:49pm

Firewall กันไม่อยู่หรอกครับ ทำได้คือ
ล้างคิวเมล์ออก เปลี่ยนรหัสผ่าน

ICOM · July 10, 2012, 4:04pm

โดน user จากจีนค้น username & password ได้ครับ
ผมก็โดนอยู่ 3-4 วันก่อนพวกสุ่มเข้ามาเป็นพันครั้งจนสำเร็จ ทั้งๆ password ยาว 8 ตัวมีทั้งตัวอักษรและตัวเลข
พอสุ่มสำเร็จ เขาก็ login เข้ามาส่งเพลินเลย ดีว่าผม limit mail เอาไว้ต่ำเลยไม่มีปัญหามากนัก
พอรู้ตัวก็เปลี่ยน password ของเมลนั้นใหม่ซ่ะ จบไปหนึ่งขั้นตอน
ทีนี้ก็นั่งดูพี่แก login fail ไปเรื่อยๆ แล้วก็จำนวนครั้งก็จะเริ่มพุ่งสูงขึ้นอีก เพราะเขาพยายามสุ่ม password ใหม่อีก
เบื่อๆด็กดให้ firewall ดักแบบยก class ซ่ะที อย่างตอนนี้ผมดักไว้

#add_by_DA_china
14.0.0.0/8
125.40.0.0/13
42.0.0.0/8
119.0.0.0/8
115.0.0.0/8
113.0.0.0/8
120.0.0.0/8
121.204.0.0/14
220.152.128.0/17

จำนวน login เลยลดลงไปหน่อย วันนี้ 200 กว่าครั้ง
ไม่ติดว่ามีลูกค้าไปเมือนจีนบ้าง ติดต่อกับจีนบ้าง จะ block IP จีนทั้งประเทศเลย

kke · July 10, 2012, 4:31pm

password หลุดไปแล้ว ควรเปลี่ยน password ใหม่ครับ
firewall ก็กันได้แค่ IP ที่เรา block ไว้ ถ้าใช้ ip อื่นเข้ามาก็ส่งได้เหมือนเดิมครับ

pizzaman911 · July 10, 2012, 9:29pm

โหด แท้ เหลา :485c3a61:

360 · July 10, 2012, 10:17pm

กว้างเกินครับ ip ไทย มีที่ขึ้นต้นด้วย

119.xx.xx.xx

124.40.xx.xx

14.xx.xx.xx

มีเยอะด้วยนะครับ. ไม่ควรบล๊อค class A แบบนี้ครับ.

ใช้ LFD บลีอคจะดีกว่าตั้งไปเลยผิดกี่ครั้งให้บล๊อค ถ้าผิดเกินด้วย class C เหมือนกัน เกินเท่าไหร่ก็ block class C

โดนแอบให้ให้ตั้งไว้เลยว่า SMTP เฉพาะ local

ICOM · July 10, 2012, 10:21pm

แบบว่ารีบครับ เลยกดยก class เลย
เดี๋ยวพรุ่งนี้เช้าค่อยเอาออก