Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому возник вопрос - как следить за тем, какая машина из локалки заражена и начинает рассылать спам.
на шлюзе - trafd, ngrep, tcpdump?>Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому
>возник вопрос - как следить за тем, какая машина из локалки
>заражена и начинает рассылать спам.
>на шлюзе - trafd, ngrep, tcpdump?
>
>>Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому
>>возник вопрос - как следить за тем, какая машина из локалки
>>заражена и начинает рассылать спам.tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn) !=0 and not dst net локальная/сетка
man tcpdump
>tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn)tcpdump
ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю на этот счет.
>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>на этот счет.Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление
>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>>на этот счет.
>
>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомлениеа поделиться можешь? :) mi6@bk.ru
>>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>>>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>>>на этот счет.
>>
>>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление
>
>а поделиться можешь? :) mi6@bk.ruБыл бы рад. Да там такая жуткая аналитическая система ужо построена, что левый чел. просто не разберется... Основную идею я уже сказал, далее - дело за Вами... Вот кусок кода из perl-скрипта:
анализирует /var/log/maillog. Учитывает размер посланного...while(<>) {
if (/^([A-Za-zЮ-Ъю-ъ]+) +([0-9]+).+sendmail.[0-9]+.: +([^ ]+): +from=<?([^,>@]+\@[^, ]+).+ size=([0-9]+).+\ relay=.*\[(192.168.[0-9.]+)\]/) {
$m = $1;
$d = $2;
$date = $m."_".sprintf("%02d",$d);
unless ($m{$m}) { print color ("blue")," $m: ",color("yellow"); }
unless ($d{$date}) { print "$d.."; ++$sort; }
unless ($sort{$date}) {$sort{$date}=$sort}$m{$m} = 1;
$d{$date} = 1;
# $id=$3;
$from = $4;
$size = $5;
$ip = $6;
....
# для некоторых IP не делаем проверок:
if ($ip =~ /192.168.0.2(22|00|08)/) { next }
###########++$count_all{$date}{$ip};
$size_all{$date}{$ip} += $size;++$count_ip{$ip};
$size_ip{$ip} += $size;++$count_d{$date};
$size_d{$date} += $size;
}
}
>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>на этот счет.запускай в бакграунде с логом в файл, по крону файл анализируй
или с логом в трубу, из трубы читай скриптом и оповещайся как хочешь