Уже и не знаю, что делать, постоянно попадаю в http://cbl.abuseat.org
Стоит FreeBSD с NAT'ом. За ним сетка из 200-300 машин. В последнее время каждый день попадаю в список спамеров. Все адреса в подсети из пространства 192.168.0.0/16. Сделал заворот всего почтового трафика на свой серв:
fwd MY_IP,25 tcp from 192.168.0.0/16 to not MY_IP dst-port 25
В итоге, если кто-то из внутренней подсети поймал вирус, рассылка с зараженной машины будет попадать в мой Sendmail. А самописный скрипт при активности более 50 писем за 15 минут закроет доступ для зараженной машины.
Раньше все так и было. Но сейчас в логах все чисто, никакой спам-активности, а банят каждый день. Есть идеи куда копать ????

• Мой IP постоянно попадает в http://cbl.abuseat.org,shados, 10:11 , 27-Фев-07
  • Мой IP постоянно попадает в http://cbl.abuseat.org,William, 11:01 , 27-Фев-07
    • Мой IP постоянно попадает в http://cbl.abuseat.org,Пользователь, 11:45 , 27-Фев-07
      • Мой IP постоянно попадает в http://cbl.abuseat.org,xl, 05:38 , 15-Мрт-07
• Мой IP постоянно попадает в http://cbl.abuseat.org,William, 12:17 , 23-Мрт-07
  • Мой IP постоянно попадает в http://cbl.abuseat.org,slepnogaGentoo, 21:20 , 24-Мрт-07
  • Мой IP постоянно попадает в http://cbl.abuseat.org,William, 13:58 , 29-Мрт-07

А может твой сервер просто кто-то поимел и у тебя уже крутится открытая прокся в скрытых процессах?

>А может твой сервер просто кто-то поимел и у тебя уже крутится
>открытая прокся в скрытых процессах?

ps axu - вижу только мои процессы
sockstat - опять же только то, что я знаю
в кронтабе ничего подозрительного.
ГЫ. А как скрытые процессы-то посмотреть ? 8-\

>>А может твой сервер просто кто-то поимел и у тебя уже крутится
>>открытая прокся в скрытых процессах?
>
>ps axu - вижу только мои процессы
>sockstat - опять же только то, что я знаю
>в кронтабе ничего подозрительного.
>ГЫ. А как скрытые процессы-то посмотреть ? 8-\
ps и sockstat и остальное запросто у тебя могут быть уже подменены.
контрольный суммы системных файлов имеются? если нет, грузись с live cd и проверяй.
можно снаружи посканить машинку, или послушать что на нее идет. вобщем если такая подозрительная частота попадания в блэклисты,то лучше априори считать что машинка взломана и не доверять. немного параноидального подхода никогда не помешает.

Я тупо смотрел tcpdump'ом весь почтовый трафик.. Поймал зараженную машину за 10 минут..

Собрал из сырцов ps, sockstat, netstat.
Сделал nmap этого сервака с соседней машины.
Поиск никакого результата не принес.
Написал мыло в cbl.abuseat.org.
Вот кусок ответа:

The IP (тут мой IP) was positively identified, most recently at:
...
to be participating in a distributed denial-of-service (DDOS) attack on
the cbl.abuseat.org web page

Так что не за мыло меня банили. Похоже, просто кто-то из юзверей подхватил какого-то трояна и валил cbl.abuseat.org.
Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org.
Жду результат...

zakroi 25 port vsem krome svoego MTA .
Nah uzeram za NATom 25 port ?

>Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org.
>Жду результат...
Зараза найдена: из сетки один комп лез на 80й порт cbl.abuseat.org
Банить перестали