邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 八百里加急!被人黑了,快来救我! [打印本页]

作者: 燎原野火 时间: 2007-5-25 09:33
标题: 八百里加急!被人黑了,快来救我!
有急事请教大家:
公司用的是MD服务器，不知道是谁在服务器上设置了一个规则:把老板发出的邮件copy到一个陌生的邮箱，也不知道那个挨千刀的向老板告密,并把怀疑的矛头指向我，老板得知后很震惊，责令查出真正黑手！
由于公司有几个人都知道邮件服务器密码
,而我又是最大嫌疑人,我想找出一个可以洗刷自己又可以揪出幕后黑手的证据,谁该知道怎么办啊?
我现在的唯一线索就是那个陌生的邮箱地址!

望各位大虾帮忙,谢谢先!
哭啊

[ 本帖最后由燎原野火于 2007-5-25 09:38 编辑 ]

作者: cygtswww 时间: 2007-5-25 09:42
标题: 回复 #1 燎原野火的帖子
知道密码的也就几个人吧，不可能有几十个吧（安全意识啊！！！）
要老板查他们的计算机，大多人会用outlook就好办多了，OUTLOOK不行就查其常访问的网址（那个邮箱是什么地址），你们是怎么上网的？

作者: 燎原野火 时间: 2007-5-25 09:46
老板的态度是:
没有证据是不会动别人的电脑,你不能凭空去查人家电脑!

作者: cygtswww 时间: 2007-5-25 09:53
标题: 回复 #3 燎原野火的帖子
MD有没有操作记录的，我不清楚，如果有操作记录日志就好办多了，看是在什么时间段的操作就行了，再核对单位工作时间，那个时间段谁负责维护的

作者: wxhsh 时间: 2007-5-25 09:54
标题: 回复 #3 燎原野火的帖子
以我多年做网管的经验，所有客户机都留后门的，并且要动他们电脑随便编个理由就行了，如系统维护什么的。

作者: nfore 时间: 2007-5-25 09:56
查日志。

作者: 燎原野火 时间: 2007-5-25 10:01
标题: 回复 #5 wxhsh 的帖子
关键是知道密码那几个人都是网管,你去动人电脑不大可能

作者: 燎原野火 时间: 2007-5-25 10:02
标题: 回复 #6 nfore 的帖子
哎..我是菜鸟

都看了一天了,还没看出什么头绪出来
大虾,指点一下!谢谢

作者: wxhsh 时间: 2007-5-25 10:05
标题: 回复 #7 燎原野火的帖子
搞到现在我不知道是什么密码，服务器系统登陆密码？邮件管理员密码？MD解锁密码？
根据密码类型才好制定用哪个方案。

作者: 燎原野火 时间: 2007-5-25 10:08
标题: 回复 #9 wxhsh 的帖子
哦.不好意思
我们公司的邮件服务器设定比较简单
就是计算机登陆密码,只要登陆了计算机,你就可以在里面做任何修改了

作者: wxhsh 时间: 2007-5-25 10:14
标题: 回复 #10 燎原野火的帖子
这个比较讨厌了，先看一下\mdaemon\App\CFRules.dat，这个文件的最后修改日期，确定一下是什么时间被更改过规则了。

作者: 燎原野火 时间: 2007-5-25 10:20
不用查看那个文件,察看那个陌生邮箱的用户文件夹创建日期也可以看出是大概什么时间有人修改日至的

可是这个有用吗?

作者: wxhsh 时间: 2007-5-25 10:22
标题: 回复 #12 燎原野火的帖子
我还当那个陌生邮箱是外域的呢，本域就方便了，查POP3记录，对应那个陌生邮箱，看是哪个IP访问过，就知道是谁了。

作者: 燎原野火 时间: 2007-5-25 10:59
标题: 回复 #13 wxhsh 的帖子
好像不行吧
我们公司用的是OUTLOOK 里面的pop和smtp服务器都是填的域名

不好查啊

作者: wxhsh 时间: 2007-5-25 11:06
标题: 回复 #14 燎原野火的帖子
是MDaemon\Logs\MDaemon-POP.log这个日志，所有客户机访问的记录都在其中，你以此陌生邮箱为搜索条件搜索，然后观察找
Fri 2007-05-25 07:53:44: Accepting POP connection from [X.X.X.X : X]这里X就是客户机的IP了，然后顺藤摸瓜.......

作者: lwz_08 时间: 2007-5-25 11:19
通过外域访问的话,很难查出

因为你企业用户出口只有一个IP,背后有N多PC在用,有些困难的

唯一的线索就是查出规则修改日期

PS:其实反过来说,这个人关系肯定与你不怎么样,背后捅一刀,然后再去老板跟前告密

猜一下就知道是谁了,换言之,告你的人正是做此规则的人,理由,踢你出公司,明白?

作者: 燎原野火 时间: 2007-5-25 11:39
标题: 回复 #16 lwz_08 的帖子
正如这位兄弟所说
实际情况就是这样,我现在也知道是谁,但是没有拿的出手的证据
所以很麻烦啊

真后悔当初没学点黑客知识,哎..被人这样陷害!

作者: 燎原野火 时间: 2007-5-25 11:40
标题: 回复 #16 lwz_08 的帖子
查规则修改日期?
能不能讲的详细一点？

作者: 燎原野火 时间: 2007-5-25 15:18
哈哈

从其他方面找到了突破口,不用担心了!
只要用心,总会查出一些蛛丝马迹!

谢谢楼上的诸位兄弟献计献策!

作者: lwz_08 时间: 2007-5-25 15:52
哦?找到了?

说说看,咋好歹也要帮兄弟出谋划策,出口恶气,扫他出门吧

作者: nfore 时间: 2007-5-25 16:26
对啊，公布一下方法，让我们也长长见识

作者: nike999 时间: 2007-5-28 09:53

看看是怎样查到的?学习一下。。。

作者: 星星点点 时间: 2007-5-28 14:26
标题: 目前只能守株待兔
你就反黑吧，用各种手段把关数据，只要那个人还在公司用那个邮箱就行！当然知道密码的几个就是主要的检查对象咯！设个代理，tcpdump什么的！

作者: 燎原野火 时间: 2007-5-28 15:09
标题: 不好意思,昨天星期天没来
其实,很简单的

他刚开始建规则的时候,自己试着接收了几封,而这个抵制刚好是外地的ADSL地址

而我根本就没去过那个地方,所以嘛..

情况就大白于天下了!

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://www.5dmail.net/bbs/)