URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 82491
[ Назад ]

Исходное сообщение
"Спам вирус"
Отправлено Gidz , 21-Окт-08 09:07

Здравствуйте. Подскажите, вчера от провайдеро пришло сообщение, что с какого-то кампьютера в сети проискодит рассылка спама. Компьютеров в сети 30, и 1 почтовый сервер(postfix). Почтовые клиеты в сети настроенны на локальный сервер, а он уже перебрасывает всю почту через провайдерский smtp. Вообщем подскажите, как можно выявить компьютер с которого происходит рассылка спама, и как можно на сервере в сети разрешить работоту с 25 портом только почтовому серверу postfix?
ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был сбой в работе почтового сервера, и возможно писма сотрудников оставались в очереде на сервере, потом когда я его перезагрузил они сразу все отправились и провайдер посчитал это за спам. возможно ли такое?

Содержание

Спам вирус,Happy_demon, 10:43 , 21-Окт-08
- Спам вирус,Gidz, 10:56 , 21-Окт-08
  - Спам вирус,pavel_simple, 10:58 , 21-Окт-08
    - Спам вирус,Gidz, 15:39 , 21-Окт-08
      - Спам вирус,Gidz, 17:14 , 21-Окт-08
        
        Спам вульгарис,Andrey Mitrofanov, 17:33 , 21-Окт-08
      - Спам вирус,DogEater, 21:08 , 21-Окт-08

Сообщения в этом обсуждении

"Спам вирус"
Отправлено Happy_demon , 21-Окт-08 10:43

>ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был
>сбой в работе почтового сервера, и возможно писма сотрудников оставались в
>очереде на сервере, потом когда я его перезагрузил они сразу все
>отправились и провайдер посчитал это за спам. возможно ли такое?
у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе разрешил доступ по 25-му порту только к нашему почтовику, а ко всем остальным закрыл.

"Спам вирус"
Отправлено Gidz , 21-Окт-08 10:56

>>ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был
>>сбой в работе почтового сервера, и возможно писма сотрудников оставались в
>>очереде на сервере, потом когда я его перезагрузил они сразу все
>>отправились и провайдер посчитал это за спам. возможно ли такое?
>
>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе
>разрешил доступ по 25-му порту только к нашему почтовику, а ко
>всем остальным закрыл.
да у меня во внешку 25 закрыть вообще, это кто-то из лакалки через 25 порт что-то шлет. А кто не могу найти. Может быть какой нить анализатор пакетов на сервак можно поставить или еще что?

"Спам вирус"
Отправлено pavel_simple , 21-Окт-08 10:58

>[оверквотинг удален]
>>>отправились и провайдер посчитал это за спам. возможно ли такое?
>>
>>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе
>>разрешил доступ по 25-му порту только к нашему почтовику, а ко
>>всем остальным закрыл.
>
>да у меня во внешку 25 закрыть вообще, это кто-то из лакалки
>через 25 порт что-то шлет. А кто не могу найти. Может
>быть какой нить анализатор пакетов на сервак можно поставить или еще
>что?
pflogsum и посмотреть что он покажет

"Спам вирус"
Отправлено Gidz , 21-Окт-08 15:39

>[оверквотинг удален]
>>>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе
>>>разрешил доступ по 25-му порту только к нашему почтовику, а ко
>>>всем остальным закрыл.
>>
>>да у меня во внешку 25 закрыть вообще, это кто-то из лакалки
>>через 25 порт что-то шлет. А кто не могу найти. Может
>>быть какой нить анализатор пакетов на сервак можно поставить или еще
>>что?
>
>pflogsum и посмотреть что он покажет
Не, ну в логах postfix ничего нет, тоесть за день если писем 50 было и то хорошо, провайдер же мне сказал что примерное колличество писем с нашего ип было 100 в минуту. И порог срабатывания у них спам фильтра что-то около 3000.
Проверил сегодня все компьютеры, нашел на некоторых вирусы... На сервере еще стоит netams,
в режиме бездействия с некоторых компов продолжал идти траф с 25 порта... их и проверял на вирусы, может есть какая нить программа в режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера по определенному порту?
Или может можно дать разрешение на шлюзе на 25 порт только для postfix?

"Спам вирус"
Отправлено Gidz , 21-Окт-08 17:14

>[оверквотинг удален]
>колличество писем с нашего ип было 100 в минуту. И порог
>срабатывания у них спам фильтра что-то около 3000.
>Проверил сегодня все компьютеры, нашел на некоторых вирусы... На сервере еще стоит
>netams,
>в режиме бездействия с некоторых компов продолжал идти траф с 25 порта...
>их и проверял на вирусы, может есть какая нить программа в
>режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера
>по определенному порту?
>Или может можно дать разрешение на шлюзе на 25 порт только для
>postfix?
эххх, хотел прописать в iptables
# iptables -A FORWARD -p tcp -s $ip --dport 25 -j REJECT
но пишет что
Bad argument `25'
Try `iptables -h' or 'iptables --help' for more information.
подскажите как правильно должна писаться эта запись?

"Спам вульгарис"
Отправлено Andrey Mitrofanov , 21-Окт-08 17:33

>>Или может можно дать разрешение на шлюзе на 25 порт только для
>>postfix?
>эххх, хотел прописать в iptables
># iptables -A FORWARD -p tcp -s $ip --dport 25 -j REJECT
>но пишет что
>Bad argument `25'
Может, переменная $ip - пустая?...
Ж-) http://www.opennet.me/openforum/vsluhforumID15/2249.html#2

"Спам вирус"
Отправлено DogEater , 21-Окт-08 21:08

>>[оверквотинг удален]
> есть какая нить программа в
>режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера
>по определенному порту?
Вечер удался. :):):)
если трафик наружу идёт *nix сервер, то man tcpdump