URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3183
[ Назад ]

Исходное сообщение
"Мой IP постоянно попадает в http://cbl.abuseat.org"

Отправлено William , 27-Фев-07 09:22 
Уже и не знаю, что делать, постоянно попадаю в http://cbl.abuseat.org
Стоит FreeBSD с NAT'ом. За ним сетка из 200-300 машин. В последнее время каждый день попадаю в список спамеров. Все адреса в подсети из пространства 192.168.0.0/16. Сделал заворот всего почтового трафика на свой серв:
fwd MY_IP,25 tcp from 192.168.0.0/16 to not MY_IP dst-port 25
В итоге, если кто-то из внутренней подсети поймал вирус, рассылка с зараженной машины будет попадать в мой Sendmail. А самописный скрипт при активности более 50 писем за 15 минут закроет доступ для зараженной машины.
Раньше все так и было. Но сейчас в логах все чисто, никакой спам-активности, а банят каждый день. Есть идеи куда копать ????

Содержание

Сообщения в этом обсуждении
"Мой IP постоянно попадает в http://cbl.abuseat.org"
Отправлено shados , 27-Фев-07 10:11 
А может твой сервер просто кто-то поимел и у тебя уже крутится открытая прокся в скрытых процессах?



"Мой IP постоянно попадает в http://cbl.abuseat.org"
Отправлено William , 27-Фев-07 11:01 
>А может твой сервер просто кто-то поимел и у тебя уже крутится
>открытая прокся в скрытых процессах?

ps axu - вижу только мои процессы
sockstat - опять же только то, что я знаю
в кронтабе ничего подозрительного.
ГЫ. А как скрытые процессы-то посмотреть ? 8-\


"Мой IP постоянно попадает в http://cbl.abuseat.org"
Отправлено Пользователь , 27-Фев-07 11:45 
>>А может твой сервер просто кто-то поимел и у тебя уже крутится
>>открытая прокся в скрытых процессах?
>
>ps axu - вижу только мои процессы
>sockstat - опять же только то, что я знаю
>в кронтабе ничего подозрительного.
>ГЫ. А как скрытые процессы-то посмотреть ? 8-\
ps и sockstat и остальное запросто у тебя могут быть уже подменены.
контрольный суммы системных файлов имеются? если нет, грузись с live cd и проверяй.
можно снаружи посканить машинку, или послушать что на нее идет. вобщем если такая подозрительная частота попадания в блэклисты,то лучше априори считать что машинка взломана и не доверять. немного параноидального подхода никогда не помешает.


"Мой IP постоянно попадает в http://cbl.abuseat.org"
Отправлено xl , 15-Мрт-07 05:38 
Я тупо смотрел tcpdump'ом весь почтовый трафик.. Поймал зараженную машину за 10 минут..


"Мой IP постоянно попадает в http://cbl.abuseat.org"
Отправлено William , 23-Мрт-07 12:17 
Собрал из сырцов ps, sockstat, netstat.
Сделал nmap этого сервака с соседней машины.
Поиск никакого результата не принес.
Написал мыло в cbl.abuseat.org.
Вот кусок ответа:

The IP (тут мой IP) was positively identified, most recently at:
...
to be participating in a distributed denial-of-service (DDOS) attack on
the cbl.abuseat.org web page

Так что не за мыло меня банили. Похоже, просто кто-то из юзверей подхватил какого-то трояна и валил cbl.abuseat.org.
Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org.
Жду результат...


"Мой IP постоянно попадает в http://cbl.abuseat.org"
Отправлено slepnogaGentoo , 24-Мрт-07 21:20 
zakroi 25 port vsem krome svoego MTA .
Nah uzeram za NATom 25 port ?

"Мой IP постоянно попадает в http://cbl.abuseat.org"
Отправлено William , 29-Мрт-07 13:58 
>Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org.
>Жду результат...
Зараза найдена: из сетки один комп лез на 80й порт cbl.abuseat.org
Банить перестали