exchange 2010,这是被攻击了吗？

mceno · 发表于 2014-6-5 18:41:58

本帖最后由 mceno 于 2014-6-18 23:59 编辑

近期，邮件服务器开始不大正常了，好多邮件收不到，也没退信。看了日志，有些古怪，如下：
"220 XXX.XXX.cn Microsoft ESMTP MAIL Service ready at Thu, 5 Jun 2014 08:00:18 +0800",
<,EHLO User,
250-XXX.XXX.cn Hello [74.208.72.28],
250-SIZE,
250-PIPELINING,
250-DSN,
250-ENHANCEDSTATUSCODES,
250-STARTTLS,
250-X-A{**此为已被过滤词语**}MOUSTLS,
250-AUTH NTLM LOGIN,
250-X-EXPS GSSAPI NTLM,
250-8BITMIME,
250-BINARYMIME,
250-CHUNKING,
250-XEXCH50,
250-XRDST,
250 XSHADOW,
AUTH LOGIN,
334 <authentication response>,
334 <authentication response>,
Inbound AUTH LOGIN failed because of LogonDenied
User Name: bailey
*,Tarpit for '0.00:00:05',
535 5.7.3 Authentication unsuccessful,
Remote

"220 XXX.XXX.cn Microsoft ESMTP MAIL Service ready at Thu, 5 Jun 2014 08:01:49 +0800",
EHLO [192.168.2.33],
250-XXX.XXX.cn Hello [212.174.252.130],
250-SIZE,
250-PIPELINING,
250-DSN,
250-ENHANCEDSTATUSCODES,
250-STARTTLS,
250-X-A{**此为已被过滤词语**}MOUSTLS,
250-AUTH NTLM LOGIN,
250-X-EXPS GSSAPI NTLM,
250-8BITMIME,
250-BINARYMIME,
250-CHUNKING,
250-XEXCH50,
250-XRDST,
250 XSHADOW,
AUTH LOGIN,
334 <authentication response>,
Inbound AUTH LOGIN failed because of LogonDenied
User Name: chat
Tarpit for '0.00:00:05',
535 5.7.3 Authentication unsuccessful,
AUTH LOGIN,
334 <authentication response>,
Inbound AUTH LOGIN failed because of LogonDenied
User Name: chat
Tarpit for '0.00:00:05',
535 5.7.3 Authentication unsuccessful,
AUTH LOGIN,
334 <authentication response>,
Inbound AUTH LOGIN failed because of LogonDenied
User Name: chat
Tarpit for '0.00:00:05',
535 5.7.3 Authentication unsuccessful,
AUTH LOGIN,
334 <authentication response>,
Inbound AUTH LOGIN failed because of LogonDenied
User Name: chat
Tarpit for '0.00:00:05',
Local

类似上面这样的事件很多，是有人在试图获取账号吗？还是被攻击了？

mceno · 发表于 2014-6-5 18:52:32

是系统日志有这样的记录：

Log Name:    Application
Source:       MSExchangeTransport
Date:       06/05/2014 17:03:45
Event ID:    1035
Task Category: SmtpReceive
Level:       Warning
Keywords:    Classic
User:       N/A
Computer:    XXX.XXX.cn
Description:
Inbound authentication failed with error LogonDenied for Receive connector XXX. The authentication mechanism is Login. The source IP address of the client who tried to authenticate to Microsoft Exchange is [83.19.218.42].

Log Name:    Application
Source:       MSExchange OWA
Date:       06/05/2014 16:59:49
Event ID:    108
Task Category: Configuration
Level:       Error
Keywords:    Classic
User:       N/A
Computer:    XXX.XXX.cn
Description:
Outlook Web App couldn't connect Exchange Web Services due to a configuration error. Response code = "500".

上边第一条的，在更换另一个接收连接器后不会出现（原来一直用默认的，没修改过），但备用的很快，不到1小时就停止服务，telnet 25端口都不通。再换回默认的，又只可以工作一阵子。第二条的一直有出现。

现在情况是，域内收发没问题，外网发来的，要不如石沉大海，要不就是退信，提示节点忙。
救命，现在系统都瘫痪了，在线等。

mceno · 发表于 2014-6-5 23:31:11

怎么没人出手啊？钉子大大，帮帮忙啊

quanglong · 发表于 2014-6-6 09:44:59

帮顶下，

貌似攻击，等高手解答

mceno · 发表于 2014-6-6 15:19:43

如何应对？怎么办？高手来啊

钉子 · 发表于 2014-6-9 09:53:21

应该是有尝试登录的情况。但好像都被拒绝了。可能是密码不对的。不过建议你检查是否有弱密码情况，并尽量把这些密码修复到复杂度比较高的值。另外，这粉情况一般应该不会影响你收不到邮件。除非大量这样的连接把正常连接给档在外面了。

mceno · 发表于 2014-6-10 18:41:02

发现是接收连接器和证书问题。
在默认的连接器那里勾上仅在开始TLS后提供基本认证，证书那里两个空白的多余的证书后，连接没事了。但邮件进入队列传递后，没进邮箱，像是内容过滤挡住了。disable内容过滤后，暂时没问题。
现在在日志里经常有win logon意外停止；证书没过期，但提示thumbprint过期了；还有，故障期间有好多msInstaller的日志，安装语言包的，和有设置为2007模式的日志，我的可以2010啊？会不会是被入侵了？
各位有什么建议？现在都不敢开内容过滤

mceno · 发表于 2014-6-10 18:43:28

钉子发表于 2014-6-9 09:53
应该是有尝试登录的情况。但好像都被拒绝了。可能是密码不对的。不过建议你检查是否有弱密码情况，并尽量把 ...

那些连接都不是本地的，像是你说的在猜密码。

钉子 · 发表于 2014-6-11 16:28:22

加强密码策略吧。

mceno · 发表于 2014-6-18 23:55:20

终于找到问题，解决了一部分。
连接器的问题在认证里勾上“仅在开始TLS后提供基本认证”后，解决了。
开启内容过滤后收不到信是因为反垃圾邮件更新了后，因为特定过滤泀里有些词误报，将所有入站的信件的SCL都误报为9级，直接删除，所以没有进入邮箱。删掉某些过滤词语后，一切恢复正常。
不过，还是有些不明，内容过滤里的过滤外部邮件不是默认开启的吗？怎么更新后就变成false了？不用get命令还真看不到。
顺便谢谢钉子和其他热心朋友帮忙，已加强密码策略，毕竟25端口开着的，别人要试要闯也没太好的办法。

		自动登录	找回密码
密码			会员注册

[已解决] exchange 2010,这是被攻击了吗？