日益平民化的垃圾邮件接力行为

ZDNet安全频道原创翻译 转载请注明作者以及出处

文章的标题已经说明了所有一切。最近在我的一台Exchange 2003电子邮件服务器上发生的事件就充分证明了这一点。这不是什么好玩的事情，但我从中学到了不少东西，因此，在本文中我将和大家一起分享心得。
--------------------------------------------------------------------------------------------

就在上星期，我从在线服务人员那里接到一个非常疯狂的电话，他告诉我电子邮件似乎要当机了。因为并不明白“似乎要当机了”所要表达的实际意思，我相信自己脸上的表情是非常好奇（甚至害怕）。经过貌似平静实际上很糟糕的进一步接触后，我决定通过远程终端访问网络，结果马上就发现了问题的所在，Exchange服务器的反应非常缓慢。现在我真正开始紧张了；重新建立Exchange服务器不是什么很令人感兴趣的事情，尤其是在没有事先计划的情况下。

做个深呼吸接着开始思考怎么办

远程访问未能实现控制，所以我决定赶赴现场。在开车的时间，我考虑应该怎么进行处理。我甚至嘲笑自己，因为在尽力回忆邮箱合并工具邮箱Exmerge的使用方式时，结果却发现这已经超出了它的使用范围。我不得不使用同一台计算机重新建立Exchange服务。到达现场后，我登入Exchange服务器，查看第一次停机以来的本地事件日志。在日志中充满了红色的X，并且都和未送达报告有关。这可不是什么好事情，因为在通常情况下，事件日志是不会出现问题的。

下一步， Exchange系统管理器

接着我打开了Exchange系统管理器。乍看之下，一切都很正常。下面的一步，我检查了队列的情况。结果发现在发送列表里有九千多封邮件，而且所有的邮件都来自postmaster。这样的情况可不好。我开始有点明白事情的真相了，但为什么发生了这样的情况？五年前，当我第一次建立Exchange 2003服务器的时间遵循了所有的指导建议。服务器上也安装了最新的补丁，网络也处于良好的保护下。

为了确认自己的直觉没有错误，我连接到DNSgoodies.com网站上，使用它们提供的工具进行了测试。测试结果证实了我的猜测，Exchange服务器确实是被作为一个开放中继了。但，这是没有道理的啊，不可能发生这种情况。所以，我打开Exchange系统管理器，再次检查中继限制的配置，结果发现内容如下所示：

微软声称，这样的配置可以防止未经授权的用户或服务器的中继电子邮件。我的心开始沉下来，这台Exchange服务器遭到了入侵，但是却没有任何迹象显示出来。这台服务器位于如同这个简单的Visio图表显示一样的网络中，受到了传统意义上的良好保护：

进一步的情况我们也可以看到，整个网络受到赛门铁克企业版反病毒软件的保护。赛门铁克系统中心每天更新病毒码并且每晚都对所有联网计算机进行完全扫描。至于笔记本电脑，它们是扫描后才允许连接到网络上。此外，在ISA服务器上还包括了IDScenter和Snort等功能。最后，包括笔记本电脑和智能电话在内的所有移动设备都采用了软件防火墙，并警告用户不要禁用该功能。

具体再看Exchange服务器，它安装了赛门铁克企业版反病毒软件的客户端，作为微软Exchange的邮件安全工具。Windows Defender和恶意软件清除工具都更新到最新版本，并且设置了自动对Exchange服务器的文件进行扫描。

不用说，在线服务人员不同意我进一步了解造成这起事故的原因，而是希望让系统重新开始工作就可以了。我坚持说，了解如何以及为什么进行攻击是非常重要的，否则的话，任何解决方案的效果都有可能是暂时的。

由于实际情况并没有好转，所以我决定马上开始工作。计算机缺乏抵抗力可能意味着很多方面的东西，但对于电子邮件服务器来说通常要做的就是对根和远程终端进行控制。我希望可以在不重新建立Exchange服务器的情况下解决这个问题。

一个黑客工具可以被删除么？

我怀疑这一点，但最好的办法就是尝试。下面就是我尝试恢复Exchange服务器正常工作的步骤：

· 运行Windows Defender工具的特别扫描：没有作用
· 运行恶意软件清除工具：没有作用
· 运行Windows Sysinternals Rootkit Revealer工具：没有作用
· 运行趋势科技Rootkit Buster工具：没有作用
· 完全卸载反病毒工具的客户端并重新进行本地安装。接下来进行全局扫描，你猜出现了什么情况：赛门铁克发现Backdoor.Rustock.B类型的病毒。这是首次表明发现了恶意软件。由于在每次清除后它都会对自身进行复制，结果导致反病毒工具的客户端未能对该病毒完全消除。
· 我登陆到赛门铁克的网站，希望能找到去除Backdoor.Rustock.B类型病毒的相关操作方法。幸运的是，我找到了包含确切去除方法的网页。
· 完成剩余的步骤，并在正常模式下启动服务器。

服务器的运行速度看起来是正常了。任务管理器的扫描证实了这一点。我打开Exchange系统管理器并检查了队列的情况。结果让我放心了，如下面的图中所示队列是正常的：

非常抱歉，我休克了。我不希望完全重新建立Exchange服务器而不尝试其它的方法。现在邮件服务器的运行已经正常了，信件的发送速度也非常的快。为了安全起见，我密切监测了好几天服务器；实际上，我仍然在对它进行监测。

尽管我很欣慰，但仍困惑于事件是怎么发生的。我对在网络上所有的计算机都进行了完整扫描，但也并没有找到什么有价值的信息。防火墙或入侵检测系统/入侵防御日志也没有提供任何有用的帮助。

吸取的经验教训

这是本文最困难的部分；实际上我不知道在这起事件里面学到了什么。该网络和Exchange服务器采用的都是现有的最佳做法。只是为了明白这意味着什么，我在下面给出了大多数专家建议的如何防范rootkit攻击的操作列表：

· 系统补丁：网络里应该包含一台Windows Server更新服务器，以保证每一台计算机实现补丁完全更新。Secunia工具应该在网络上实时运行，并且在Windows应用程序或驱动程序需要更新的时间给予提示。

· 不要使用管理权限：只有Exchange服务器遭到入侵的时间，管理权限的使用才是必须的。因此，为了避免潜在问题的出现，要控制管理权限的使用。

· 安装安全和反病毒工具：正如我先前所说的，如果Exchange服务器中有多个应用程序的运行的话，在出现正在试图进行安装的任何形式的恶意软件就可以给予警告。

我想学到的真正经验是没有什么是完全可靠的。我相信网络不会需要重新启动。清除类似Rustock的黑客工具也几乎是不可能的。在这两个问题上，我犯了错误。

作为我认为为什么不可能清除Rustock这样的黑客工具一点额外的解释，我建议你查看Windows Sysinternals forum论坛中的这次讨论。它展示了Rustock强大的生命力，特别是在作者相当肯定Rustock.D是不能探察的情况下。

最后的思考

我认为自己非常幸运。这是毫无疑问的。我也知道，在与恶意软件的斗争以保护计算机系统和网络安全的行动中，我们正面临严峻的挑战。