conficker问题求助，常被CBL拉黑

lovekikou

公司最近经常被CBL拉黑，如下例：

IP Address 180.xxx.xxx.xxx is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2014-06-05 00:00 GMT (+/- 30 minutes), approximately 3 hours, 30 minutes ago.

It has been relisted following a previous removal at 2014-06-01 14:32 GMT

[size=+1]This IP is infected (or NATting for a computer that is infected) with the Conficker botnet.
More information about Conficker can be obtained from

DSHIED网站上的MACFEE的远程工具已经扫描过了，开始有几个被感染的机器被扫出来，我们都处理过了，现在网络扫描没有被感染的电脑了，但是还是经常被CBL拉进去，其他的倒没有拉进去，不知道再如何处理了，有没有哪位遇到过相同问题或者有经验传授，虚心求教

codemoon

这些中间机构的Block，多半是（不排除带永久仇恨的那种大范围屏蔽）你的内网主机中了毒，死命往外发垃圾邮件到一些知名的机构（Hotmail,Gmail之类），被这些机构的垃圾邮件防火墙自动举报了。
1.这台中毒的机一般有Administrator权限，可以打开25端口。
2.这台机走的网关是和你邮件服务器同一个网关（同一个外网IP）。

解决方法：
1.找出这台机，用些网络软件看看哪个进程开启了25端口，干掉这些进程的exe文件。
2.用防火墙（我们的路由Vigor 2950带有），把内网里所有只通过内部邮件服务器发邮件的IP的25端口阻挡。当然，那些要直连外网的机子，你就做个例外好了。
3.去CBL看看有没有申请解除Block的（要是你申请解除了，还继续有垃圾邮件外发的行为，解封的申请时间还会延长）

因为我们内网是多数电脑都入域了，也没有给予Admin权限，所以很容易排查出哪些机中毒了。
用防火墙看Log日志可以查到哪些机访问外网的哪个IP的25端口，就更容易排查了。

以上是个人在单位的服务器被CBL SBL XXL 各种L搞了1个多月的心得……折腾了好久，希望对大家有帮助。

lovekikou

十分感谢，现在我们正在排查内网的设备~

lixiaohaoku

兄弟我的问题跟你一样的，，你现在的思路是怎么解决的。。

lovekikou

兄弟,这个问题还没解决~最近才发生的,移除后1天又被列进去,内外网扫描都扫过了,已经没有被感染的机器,没有头绪~

lixiaohaoku

我最近也是出现这个问题，移除后过一两天同样的问题也出现了。。

350335983

邮件服务器和上网IP区分就好了