Форум OlegON > Компьютеры и Программное обеспечение > Сеть

Как вычислить какой комп в сети заражен? : Сеть

19.03.2024 12:42


03.09.2011 13:40
Tema
 
имеется локальная сеть (winXP+линукс), с выходом в интернет через прокси с настроенной маршрутизацией (freebsd, настраивал другой человек), есть почтовый сервер - на нескольких машинах используют почту (thunderbird, outlook), внешний адрес. С какого-то момента айпишник попал в черные списки на spamhouse.org.Там пишут:
IP Address <адрес> is listed in the CBL. It appears to be infected with a spam sending trojan or proxy. This IP is infected (or NATting for a computer that is infected) with the cutwail spambot.

Выходит что какой-то из компов в сети заражен. С антивирусом и прочими приблудами конечно придется пройти везде (хотя стоит nod32 на винде), но может есть какой-нибудь несложный способ как-нибудь вычислить с какой конкретно машины спам идет? Если какая информация нужна - напишу, просто пока не знаю с какой стороны зайти.
03.09.2011 16:23
whitewizard
 
на win-машинах запусти netstat в командной строке.
где совсем много будет строчек - там и зло :)
03.09.2011 18:08
OlegON
 
Я бы не стал упираться на то, что на какой-то машине троян. Во-первых, там же, на CBL есть линк, как оттуда удалиться, это надо сделать в первую очередь, возможно, что забанили за что-то старое. Во-вторых, необходимо посмотреть, открыт ли у тебя SMTP relay. За это могут тоже наказать. В-третьих, внимательно посмотри снаружи, какие порты у тебя открыты. Возможно, что есть какая-то дырка. Пароли все на фряхе смени. NAT отключи, пусть все ходят через прокси. Логи прокси будешь изучать. Но это в параллели. А сначала открой лог почтового сервера и внимательно посмотри, catwail сыплет письмами десятком в секунду. Можно и CureIt погонять на подозрительных машинках.
03.09.2011 18:23
OlegON
 
вот твои открытые порты:

Цитата:
22/tcp open ssh
25/tcp open smtp
110/tcp open pop3
1723/tcp open pptp
я бы убрал 22,110, 1723 на какие-то более другие порты, подальше за 10000
ну и релей проверяй, нат отключай, есть нат?
06.09.2011 13:01
Tema
 
Цитата:
там же, на CBL есть линк, как оттуда удалиться, это надо сделать в первую очередь, возможно, что забанили за что-то старое.
линк видел, но и там же есть предупреждение:
Цитата:
WARNING: If you continually delist 81.211.103.78 without fixing the problem, the CBL will eventually stop allowing the delisting of 81.211.103.78.
поэтому и хочется хоть какой-то уверенности в том что всё чисто. А ее может дать только знание конкретного айпишника откуда идет спам.
Если судить по надписи там же:
Цитата:
It was last detected at 2011-09-02 11:00 GMT (+/- 30 minutes), approximately 3 days, 21 hours, 30 minutes ago.
то это машина из бухгалтерии - т.к. на выходных они не работали.
Про нат - а как его отключить если внешний адрес только один?
Насчет почтовика - навряд ли с него спам идет, скорее всего напрямую с виндовых машин. В логах на нем ничего подозрительного не вижу, но мало в них копался, поэтому не представляю даже, что там нужно искать.
Насчет smtp relay - нашел
там вроде всё нормально:
Цитата:
.....
<<< MAIL FROM:
>>> 250 2.1.0 Ok
<<< RCPT TO:
>>> 554 5.7.1 : Relay access denied
<<< QUIT

Connection test: PASS
Reverse IP Lookup: PASS
Open relay test: PASS
думаю первым делом надо проверить правила файерволла насчет заблокировать 25 порт для выхода наружу всем кроме почтового сервака
06.09.2011 13:16
OlegON
 
cutwail не только по 25 спамит.
Цитата:
Tema Про нат - а как его отключить если внешний адрес только один?
вот это как-то сбило с толку. не понял. просто берешь и отключаешь. получается, что в инет можно выйти только через прокси. если какому-то сервису очень надо, то открываешь NAT только ему. Половина троянов валится на неумении работать с прокси, вторая половина ловится по траффику. На прокси все порты, кроме 80 и 443 запрещаются.
06.09.2011 13:52
Tema
 
т.е. если нат отключить то фактически инет у всех отключится, и допустим чтобы в браузере начали страницы грузиться надо будет разрешать нат для 80 порта на конкретный комп, я правильно понял? Жестко если так, но идея хорошая. Только я пока не настолько хорошо в настройках файерволла шарю, а тут придется фактически за кучей избалованного народа следить.
06.09.2011 14:22
OlegON
 
что-то ты запутался. сейчас у тебя клиентский комп обращается к серверу (гейту) и говорит, а пошли этот пакет на сервер одноклассников. гейт, поскольку он у тебя с NATом радостно соглашается и рулить этим потоком никак не рулит, просто принимает и передает. Ты NAT отключаешь. В этом случае передаваться будет только то, что придет напрямую на порт прокси и будет просить прокси передать данные. Остальное без ната просто будет отваливаться. Можно не париться настройкой прокси у каждого клиента, а просто на гейте настроить правило "прозрачного прокси" (почитай что это такое). Именно, что сейчас у тебя не сетка, а хаос и я бы за такое админу бил по рукам долго. А настроишь прокси - можно будет понимать, кто, что у тебя качает. Всяческий же мусорный траффик отвалится. Напрямую выпускать весь траффик - себе вреда желать... Рассадник троянов еще тот будет.
18.09.2011 13:38
Tema
 
пока добавил только правило в файер:
deny ip from 192.168.0.0/24 to not (адрес почты) 25 via rl0
посмотрим, поймается ли что-нибудь.
с натом пока не осилил - там 2 выхода на провайдеров в 1 сливаются
18.09.2011 18:33
OlegON
 
И проверил правило? telnet smtp.mail.ru 25 не подключается? Я бы запретил вообще, а не 25. Журналы посмотрел?
Часовой пояс GMT +3, время: 12:42.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.