Добрый день!
Имею систему Asplinux 7.3. С нее стал идти постоянный исходящий трафик с 25 порта, никакого почтового сервера не поднято. Машинка стоит роутером. На локальном пк все чисто. Для проверки он просто отключался. Трафик продолжает идти наружу.
Как посмотреть какой процесс шлет мусор ???
# netstat -apn --inet
Ищем то, что использует 25 порт, например при помощи grep
>постоянный исходящий трафик с 25 портаМожет быть, _на_ 25 порт?..
>Машинка стоит роутером.
Раздаёт NAT-ом инет пользователям? Может быть, это _их_ трафик?
iptables -I FORWARD -p tcp --dport 25 -j DROP
?>Для проверки он просто отключался.
Кто "он"? Кто на ком стоял?..
>Трафик продолжает идти наружу.
>>постоянный исходящий трафик с 25 порта
>
>Может быть, _на_ 25 порт?..Видны по tcpdump на внешнем интерефейсе пакеты извне с разных адресов на 25 порт и тут же ответы назад.
>
>>Машинка стоит роутером.
>
>Раздаёт NAT-ом инет пользователям? Может быть, это _их_ трафик?Натом раздаю. Трафик не может быть внутренних клиентов, т.к они все отключены физически - выдернут кабель из сетевухи в локалку.
>
>iptables -I FORWARD -p tcp --dport 25 -j DROP
>?
>
>>Для проверки он просто отключался.
>
>Кто "он"? Кто на ком стоял?..
>
>>Трафик продолжает идти наружу.Смотрел по netstat -apn --inet. Видны только 2 сервиса - sshd и pptpd. На внешнем интерфейсе висит только pptpd.
Может когда-то юзеры вирусанулись сильно и IP компа был занесен куда-то качестве релея спама и теперь пытаются через него отправлять спам ?
Проверил исходящий трафик за ночь - почти ничего , так пару кб.
>Видны по tcpdump на внешнем интерефейсе пакеты извне с разных адресов на 25 порт и тут же ответы назад.Какие именно ответы, проходит ли установка tcp соединения или просто идет отфутболивание с возможным ICMP-reject? Попробуйте сами на свой внешний ip постучатся при помощи telnet или netcat
Если tcp сессия устанавливается и идут данные, но при этом netstat ничего не показывает, то рекомендуется проверка машины при помощи rkhunter с unhide