URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77097
[ Назад ]

Исходное сообщение
"Как следить за отправкой почты из локалки"

Отправлено marvin , 31-Окт-07 10:35 
Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому возник вопрос - как следить за тем, какая машина из локалки заражена и начинает рассылать спам.

Содержание

Сообщения в этом обсуждении
"Как следить за отправкой почты из локалки"
Отправлено AlexF , 31-Окт-07 12:55 
на шлюзе - trafd, ngrep, tcpdump?

>Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому
>возник вопрос - как следить за тем, какая машина из локалки
>заражена и начинает рассылать спам.


"Как следить за отправкой почты из локалки"
Отправлено ShyLion , 31-Окт-07 13:15 
>на шлюзе - trafd, ngrep, tcpdump?
>
>>Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому
>>возник вопрос - как следить за тем, какая машина из локалки
>>заражена и начинает рассылать спам.

tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn) !=0 and not dst net локальная/сетка

man tcpdump


"Как следить за отправкой почты из локалки"
Отправлено ShyLion , 31-Окт-07 13:17 
>tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn)

tcpdump


"Как следить за отправкой почты из локалки"
Отправлено marvin , 31-Окт-07 16:36 
ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю на этот счет.


"Как следить за отправкой почты из локалки"
Отправлено konst , 31-Окт-07 19:14 
>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>на этот счет.

Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление


"Как следить за отправкой почты из локалки"
Отправлено marvin , 01-Ноя-07 10:09 
>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>>на этот счет.
>
>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление

а поделиться можешь? :) mi6@bk.ru



"Как следить за отправкой почты из локалки"
Отправлено konst , 01-Ноя-07 23:01 
>>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>>>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>>>на этот счет.
>>
>>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление
>
>а поделиться можешь? :) mi6@bk.ru

Был бы рад. Да там такая жуткая  аналитическая система ужо построена, что левый чел. просто не разберется... Основную идею я уже сказал, далее  - дело за Вами... Вот кусок кода из perl-скрипта:
анализирует /var/log/maillog. Учитывает размер посланного...

while(<>) {
    if (/^([A-Za-zЮ-Ъю-ъ]+) +([0-9]+).+sendmail.[0-9]+.: +([^ ]+): +from=<?([^,>@]+\@[^, ]+).+ size=([0-9]+).+\ relay=.*\[(192.168.[0-9.]+)\]/) {
        $m = $1;
        $d = $2;
        $date = $m."_".sprintf("%02d",$d);
        unless ($m{$m})  { print color ("blue")," $m: ",color("yellow"); }
        unless ($d{$date}) { print "$d.."; ++$sort; }
        unless ($sort{$date}) {$sort{$date}=$sort}

        $m{$m} = 1;
        $d{$date} = 1;
#       $id=$3;                                                                                              
        $from = $4;
        $size = $5;
        $ip = $6;
....
# для некоторых IP не делаем проверок:
        if ($ip =~ /192.168.0.2(22|00|08)/) { next }
###########

        ++$count_all{$date}{$ip};
        $size_all{$date}{$ip} += $size;

        ++$count_ip{$ip};
        $size_ip{$ip} += $size;

        ++$count_d{$date};
        $size_d{$date} += $size;
    }
}


"Как следить за отправкой почты из локалки"
Отправлено ShyLion , 01-Ноя-07 07:40 
>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>на этот счет.

запускай в бакграунде с логом в файл, по крону файл анализируй
или с логом в трубу, из трубы читай скриптом и оповещайся как хочешь