none
Exchange 2003 problema con advanced mass sender 4.3 RRS feed

  • Pregunta

  • Hola amigos, realmente estoy con un problema grave. Mi servidor esta recibiendo spam, pero ademas, esta enviando, tenia instalado el "advanced mass sender 4.3" (obviamente yo no lo instale), por lo cual estaba en listas negras. Procedi a desinstalarlo, ejecutar antivirus, ccleaner, y todas cosas por el estilo.

    Hoy me encuentro que estoy de nuevo en listas negras, miro.. y el programa advanced mass sender 4.3 esta instalado nuevamente.

    Es una Win Server 2003 R2 SP2 con MS Exchange 2003 con el SP2 tambien.

    Que puede estar pasando? una ayuda please! gracias!

    martes, 8 de febrero de 2011 13:53

Todas las respuestas

  • Primero deberías ver quién o qué instala el Mass Sender y el motivo de esa instalación. Lo segundo, saber si ese Exchange está conectado directamente a Internet o cómo está montado
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007)
    Citrix CCA
    miércoles, 9 de febrero de 2011 22:13
    Moderador
  • Que tal Marc, ya voy 2 dias sin el Mass Sender... todo un logro... pero todos los dias vuelvo a aparecer en la lista negra de SpamHaus XBL.

    El exchange se publica a traves de un isa server 2006.

    Ahora estoy pensando en poner un front end y un back end con un firewall fisico de por medio. Pero en tanto, no se como solucionar lo de caer reiteradas veces en listas negras.. El problema del Mass Sender parece haberse solucionado.. entonces nose porque vuelven a bloquearme..

     

    Gracias por tu ayuda.

     

    pd.. encontre esto al poner mi ip en CBL:

     

    At the time of removal, this was the explanation for this listing:
    
    This IP is operating (or NATting for a computer that is operating) the "sendsafe" bulk emailing malware. This software is exclusively used for sending "Nigerian 419"/"advance fee" frauds or phishing attempts.
    
    Sendsafe works by acquiring userid and password (usually stolen) for a valid email account on a mail server. Then, a machine compromised by sendsafe (in this case your IP) makes a SMTP connection to that mail server, authenticates with the compromised email login credentials, and proceeds to send Nigerian 419 scam emails.
    
    One way to look for this is to look for authenticated outbound SMTP connections from this IP address either on port 25 or port 587. This particular detection was of a SMTP connection made from your IP address to IP address 99.41.29.221.
    
    In some cases it turns out to be a SSH login account (with a weak or compromised password) used to proxy inbound connections to outbound SMTP connections. Check your SSH logs for logins from unusual places (such as Nigeria).
    
    A recent case turned out to be a copy of "Mass Sender" (aka "Advanced Mass Sender 4.3"). This appeared have been installed via some sort of remote desktop connection (such as RDT or VNC), and operated by the remote desktop connection. The criminal had gained access to the remote desktop connection via stolen/cracked/keylogged userid/password. First check Windows Installed applications (eg: Control Panel => Add or Remove programs...) and see if anything unexpected is there.
    
    On a NAT, it could be any windows computer on your LAN. Examining your firewall logs for remote desk top connections from outside may help identify which computer it is.
    
    In this case, it was "Mass Sender 4.3". If you find anything like that, delete it. Then, to make sure it doesn't happen again, secure your remote desktop connection as tightly as possible. Close the firewall to that port if possible. Change all passwords etc.
    
    In other cases it appears to be a virus infection that may have disabled your Anti-Virus software. If you have Anti-Virus software, make sure it's operational and up-to-date.

    jueves, 10 de febrero de 2011 13:53
  • Veo en mis logs que mi cuenta postmaster esta intentando todo el tiempo enviar spam... 
    jueves, 10 de febrero de 2011 17:42
  • Veo en mis logs que mi cuenta postmaster esta intentando todo el tiempo enviar spam... 
    Buenas tengo un cliente con server 2003 sp2 con el mismo problema me he cansado de sacar el mass sender y ahora toda su cola de de soft de bloqueo de terminales remotas y hoy el top ... tambien logeo en el admin del server virtual lock desktop lock y cada vez me aparecen mas y sus ramificaciones en el disco son cada vez mas ... como hago para estabilizar este servidor? es chico solo usa 8 RDT y un pequeño soft de administracion ... Gracias!
    gfc
    domingo, 21 de agosto de 2011 2:19