[ОТВЕТИТЬ]
Опции темы
03.09.2011 13:40  
Tema
имеется локальная сеть (winXP+линукс), с выходом в интернет через прокси с настроенной маршрутизацией (freebsd, настраивал другой человек), есть почтовый сервер - на нескольких машинах используют почту (thunderbird, outlook), внешний адрес. С какого-то момента айпишник попал в черные списки на spamhouse.org.Там пишут:
IP Address <адрес> is listed in the CBL. It appears to be infected with a spam sending trojan or proxy. This IP is infected (or NATting for a computer that is infected) with the cutwail spambot.

Выходит что какой-то из компов в сети заражен. С антивирусом и прочими приблудами конечно придется пройти везде (хотя стоит nod32 на винде), но может есть какой-нибудь несложный способ как-нибудь вычислить с какой конкретно машины спам идет? Если какая информация нужна - напишу, просто пока не знаю с какой стороны зайти.
 
03.09.2011 16:23  
whitewizard
на win-машинах запусти netstat в командной строке.
где совсем много будет строчек - там и зло :)
 
03.09.2011 18:08  
OlegON
Я бы не стал упираться на то, что на какой-то машине троян. Во-первых, там же, на CBL есть линк, как оттуда удалиться, это надо сделать в первую очередь, возможно, что забанили за что-то старое. Во-вторых, необходимо посмотреть, открыт ли у тебя SMTP relay. За это могут тоже наказать. В-третьих, внимательно посмотри снаружи, какие порты у тебя открыты. Возможно, что есть какая-то дырка. Пароли все на фряхе смени. NAT отключи, пусть все ходят через прокси. Логи прокси будешь изучать. Но это в параллели. А сначала открой лог почтового сервера и внимательно посмотри, catwail сыплет письмами десятком в секунду. Можно и CureIt погонять на подозрительных машинках.
 
03.09.2011 18:23  
OlegON
вот твои открытые порты:

Цитата:
22/tcp open ssh
25/tcp open smtp
110/tcp open pop3
1723/tcp open pptp
я бы убрал 22,110, 1723 на какие-то более другие порты, подальше за 10000
ну и релей проверяй, нат отключай, есть нат?
 
06.09.2011 13:01  
Tema
Цитата:
там же, на CBL есть линк, как оттуда удалиться, это надо сделать в первую очередь, возможно, что забанили за что-то старое.
линк видел, но и там же есть предупреждение:
Цитата:
WARNING: If you continually delist 81.211.103.78 without fixing the problem, the CBL will eventually stop allowing the delisting of 81.211.103.78.
поэтому и хочется хоть какой-то уверенности в том что всё чисто. А ее может дать только знание конкретного айпишника откуда идет спам.
Если судить по надписи там же:
Цитата:
It was last detected at 2011-09-02 11:00 GMT (+/- 30 minutes), approximately 3 days, 21 hours, 30 minutes ago.
то это машина из бухгалтерии - т.к. на выходных они не работали.
Про нат - а как его отключить если внешний адрес только один?
Насчет почтовика - навряд ли с него спам идет, скорее всего напрямую с виндовых машин. В логах на нем ничего подозрительного не вижу, но мало в них копался, поэтому не представляю даже, что там нужно искать.
Насчет smtp relay - нашел сайтик
там вроде всё нормально:
Цитата:
.....
<<< MAIL FROM:
>>> 250 2.1.0 Ok
<<< RCPT TO:
>>> 554 5.7.1 : Relay access denied
<<< QUIT

Connection test: PASS
Reverse IP Lookup: PASS
Open relay test: PASS
думаю первым делом надо проверить правила файерволла насчет заблокировать 25 порт для выхода наружу всем кроме почтового сервака
 
06.09.2011 13:16  
OlegON
cutwail не только по 25 спамит.
Цитата:
Сообщение от Tema
Про нат - а как его отключить если внешний адрес только один?
вот это как-то сбило с толку. не понял. просто берешь и отключаешь. получается, что в инет можно выйти только через прокси. если какому-то сервису очень надо, то открываешь NAT только ему. Половина троянов валится на неумении работать с прокси, вторая половина ловится по траффику. На прокси все порты, кроме 80 и 443 запрещаются.
 
06.09.2011 13:52  
Tema
т.е. если нат отключить то фактически инет у всех отключится, и допустим чтобы в браузере начали страницы грузиться надо будет разрешать нат для 80 порта на конкретный комп, я правильно понял? Жестко если так, но идея хорошая. Только я пока не настолько хорошо в настройках файерволла шарю, а тут придется фактически за кучей избалованного народа следить.
 
06.09.2011 14:22  
OlegON
что-то ты запутался. сейчас у тебя клиентский комп обращается к серверу (гейту) и говорит, а пошли этот пакет на сервер одноклассников. гейт, поскольку он у тебя с NATом радостно соглашается и рулить этим потоком никак не рулит, просто принимает и передает. Ты NAT отключаешь. В этом случае передаваться будет только то, что придет напрямую на порт прокси и будет просить прокси передать данные. Остальное без ната просто будет отваливаться. Можно не париться настройкой прокси у каждого клиента, а просто на гейте настроить правило "прозрачного прокси" (почитай что это такое). Именно, что сейчас у тебя не сетка, а хаос и я бы за такое админу бил по рукам долго. А настроишь прокси - можно будет понимать, кто, что у тебя качает. Всяческий же мусорный траффик отвалится. Напрямую выпускать весь траффик - себе вреда желать... Рассадник троянов еще тот будет.
 
18.09.2011 13:38  
Tema
пока добавил только правило в файер:
deny ip from 192.168.0.0/24 to not (адрес почты) 25 via rl0
посмотрим, поймается ли что-нибудь.
с натом пока не осилил - там 2 выхода на провайдеров в 1 сливаются
 
18.09.2011 18:33  
OlegON
И проверил правило? telnet smtp.mail.ru 25 не подключается? Я бы запретил вообще, а не 25. Журналы посмотрел?
 
 


Опции темы



Часовой пояс GMT +3, время: 01:09.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.