URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 4603
[ Назад ]

Исходное сообщение
"OpenNews: Организация почтовых ловушек для обнаружения вирусов"

Отправлено opennews , 09-Ноя-04 11:08 
Статья полугодичной давности, но (надеюсь) не потерявшая актуальности. Рассматривает организацию фальшивого почтового сервера на базе Linux, предназначенного собирать из локальной сети спам, генерируемый вирусами на заражённых рабочих станциях, блокировать его и сообщать админу.

URL: http://ilya-evseev.narod.ru/articles/smtptrap/smtptrap-artic...
Новость: http://www.opennet.me/opennews/art.shtml?num=4626


Содержание

Сообщения в этом обсуждении
"Организация почтовых ловушек для обнаружения вирусов"
Отправлено pev2000 , 09-Ноя-04 11:08 
Что то как то сложно... во первых как мне показалось - вирусы сами стучатся на 25 порт сервера получателя, обходя этим самым настройки всяких Outlook'ов.
Не проще ли сделать на маршрутизаторе заворот на 25 порт локального smtp сервера(на маршрутезаторе BSD сделано "ipfw add fwd 127.0.0.1,25 tcp from any to any 25 in via fxp0" и все радуются жизни) где антивирус проверяет проходящую почту и отправляет его либо напрямую на сервер получателя, либо на smtp провайдера

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено BlackSir , 09-Ноя-04 11:37 
Согласен, я пользуют прозрачное проксирование всего исходящего SMTP-траффика средствами natd (+пару правил в ipfw естественно) в локальный Exim+ClamAV:
/sbin/natd -p 8669 -proxy_only -proxy_rule port 25 server x.y.z.t:25 -reverse

Все замечательно работает, машинка с P3-1133 максимум за день хавала ~100тыс писем с вирусами. Не подавилась и практически не тормозила. Обдумываю вариант поставить в качестве frontend security/clamsmtp дабы избавить Exim от грязной работы.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Аноним , 09-Ноя-04 16:03 
А каким это, интересно, боком такая машинка может пропускать столько писем с вирьем, откуда его вообще стлько? У меня основной релэй тянет от половины до одного мегаписьма в сутки, при этом вирья, по репортам, всего несколько килописем. В дни эпидемии - до нескольких десятков килописем. Но откуда обьемы около ста килописем в сутки с вирусами ? Что у тебя за сетка, в которой столько завирусованных маших ? Или ты их специально разводишь ?

Смахивает на что-то левое.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено BlackSir , 09-Ноя-04 16:44 
Отвечаю: Если стоит прозрачное проксирование то вири при обращении напрямую к ЛЮБОМУ серваку попадают на мой релей, соответсвенно ВЕСЬ вирусный траффик обрабатывается моим сервером. Второе: я не обязан и не буду лечить машины клиентов(могу только на мозги им капать), а вот манагеры не дают их отлючать от инета :-(

все еще сомневаешься? mailto:blacksir@number.ru


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Spark , 09-Ноя-04 20:06 
я понимаю что к ЛЮБОМУ СЕРВАКУ.

Так бы и сказал что у тебя релей


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Spark , 09-Ноя-04 20:08 
я понимаю что к ЛЮБОМУ СЕРВАКУ.

Так бы и сказал - что это сервер ISP. Я про корпоративный MTA говорю.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 09-Ноя-04 16:38 
> вирусы сами стучатся на 25 порт сервера получателя,
> обходя этим самым настройки всяких Outlook'ов.
Не всегда, это только один из вариантов.
В статье написано - автор имел счастье наблюдать,
как вирус рассылал спам через местный SMTP-сервер.

> антивирус проверяет проходящую почту
Антивирус - не панацея.
Предложенное решение (которое тем более не панацея) его дополняет.
Кроме того, вирус может рассылать не только себя, но и спам.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено pev2000 , 09-Ноя-04 22:29 
>  через местный SMTP-сервер.
что значит местный? (это тот который прописан в оутлуке?) да если у меня все оутлуком пользуются - стандарт корпоративный, даже если кто то не пользуется им, а пользуется чем то вроде Мыши... сам подумай контора - была ну так 20-50 юзеров, предположим ты облетел всех и настроил им оутлук и альтернативный... но потом вы начали рости-рости и выросли до 1000 машин? всех настраивать будешь? всех обучать будешь?
да и потом, если мы хотим защитить мир от нас-зараженых тогда закрыть всем доступ на 25 порт-99% панацея, если уж на то пошло =)
возмем к примеру новомодный вирус I-Worm.Bagle.at для отправки почты червь использует прямое подключение к SMTP-серверу получателя. взято с >>>
http://www.viruslist.com/ru/viruslist.html?id=146123472

и таких примеров этому виру море большинство идут напрямую на сервер получателя - либо блочить все конекты на не местные 25-е, либо использовать заворот на сервер с антивиром(у меня локальный он же), да если от пользователя идет много писем - 100 к примеру за минуту то его можно смело блочить(если маленькая конторка) и идти стучать в бубен пользователю, либо сидеть и смотреть дальше =)


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 10-Ноя-04 19:46 
> да если у меня все оутлуком пользуются - стандарт корпоративный,
В статье рассмотрено несколько решений для разных вариантов,
в том числе и такого, при котором нужен именно Аутлук, и только он.
Решение - вместо фальшивого почтового клиента и сервера используется фальшивая запись в локальном WAB'е,
а на сервере - срабатывание по приходу писем на этот адрес.

> но потом вы начали рости-рости и выросли до 1000 машин?
Вот для этого и нужен аналог WabTool с интерфейсом командной строки.

> да и потом, если мы хотим защитить мир от нас-зараженых,
> тогда закрыть всем доступ на 25 порт-99% панацея
Не только и не столько перекрыть ему кислород,
сколько помочь обнаружить его присутствие в дополнение к уже существующим средствам.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Spark , 09-Ноя-04 12:07 
Проблема только в том, что кламав не все вирусы отлавливает. Как-то архивы с паролями и т.д.%D%A%D%AРеализовывал такую схему, когда при обращении к внешнему смтп, делался REDIRECT на локальный smtp, но больно неудобно разбирать почту вирусную в ручную. А без разбора - понту ее ловить. Потому - все таки вернулся к схеме - заблокирован smtp в FORWARD, вся исходящяя почта сканируеться kavd - зараженная складывается в папку админу, где проходят проверку на вшивость.

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено BlackSir , 09-Ноя-04 12:33 
>Проблема только в том, что кламав не все вирусы отлавливает.
На самом деле - практически все, а насчет архивов с паролями есть опция:
# Mark encrypted archives as viruses (Encrypted.Zip, Encrypted.RAR).
# Default: disabled
#ArchiveBlockEncrypted


>А без разбора - понту ее ловить.
А вы никогда в блок-листы не попадали? Со 100тыс. вирей в сутки это более чем реально :-(
Лечить клиентские машины в моем случае нельзя. Можно только раз в неделю(или чаще, пока не надоест) звонить клиентам и напоминать что у них де, злёбный вирус поселился. Зато когда на mail.ru, mtu-net.ru и т.п. почта перестает ходить они первые будут звонить - ругацца.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Аноним , 09-Ноя-04 16:06 
Служба безопасности после первого abuse звонит клиенту, показывает договор и ласково обьясняет, что они были отключены нах, и будут включены после того, как все у себя почистят. А если не так, то виноваты в этом манагеры, слишком активно лижущие клиентам задницу и заставляющие тем же заниматься и технарей.

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 09-Ноя-04 16:41 
>> Проблема только в том, что кламав не все вирусы отлавливает.
> На самом деле - практически все, а насчет архивов с паролями есть опция:
Всегда найдётся архив, который понимает рабочая станция с Windows, но не поймёт сервер с Юнихом.
Всегда найдётся вирус, не успевший попасть в базу.
Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
или принесённый пользователем на флэшке файл.

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено pev2000 , 09-Ноя-04 22:38 
> Всегда найдётся вирус, не успевший попасть в базу.
Да такое бывает обносляеся чаще!!!

> Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
  Уважаемый! Вы сами имели честь читать статью? (если коротко: "Там обисан способ отлова писем которые хотят во внешний мир, то есть защита мира от нас (от наших клиентов) завирусованых")
Выход вира через отправку с Веб-страницы %-) я снимаю свою панаму, перед этим вирусо-писателем =)

> или принесённый пользователем на флэшке файл.
Да бывает такие печальные случаи когда новый "I-Worm.Mydoom" приносят на дискетке ;-) и просят его поглядеть: "Что то прислали - не открывается"


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 10-Ноя-04 19:53 
>> Всегда найдётся вирус, не успевший попасть в базу.
> Да такое бывает обносляеся чаще!!!
А если вирус атаковал вас раньше, чем Clam успел выпустить обновление?

>> Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
>  Уважаемый! Вы сами имели честь читать статью?
Не только читал, но и написал её тоже я.

>Выход вира через отправку с Веб-страницы %-)
Имелся в виду не выход вируса от нас во внешний мир,
а его проникновение из внешнего мира к нам.
Разве не может вирус распространяться через Веб,
чтобы рассылать спам через мыло?
Clam интегрируется со Сквидом, но, насколько мне известно,
решение ещё не настолько обкатанное, как с SMTP-сервером.
К тому же Веб-клиент может получать с вирусом страницу кусками/многопоточно/etc. - тут антивирус на проксе не поможет.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Spark , 09-Ноя-04 20:13 
Снова таки - для корпоративного антивиря кламав не подходит - хоть убейте.
Если у тебя почты от 5000 пользователей - и доля не блокированных вирусов 2-3 процента - действительно немного. Но когда почты не много (пусть 30 мег в день) и есть возможность смотреть всю почту вручную (просматривать отлупы и т.д.) то 2-3 неотловленных вируса - это бедствие.

>А вы никогда в блок-листы не попадали? Со 100тыс. вирей в сутки это более чем реально :-(

не доводилось, доводилось выводить незадачливых клиентов из блеклистов.

Но снова таки, перед нами разные задачи стоят. У Вас сервер ISP, у меня корпоративный почтовик.

согласен с Вашими методами, в Вашем случае.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Дмитрий Ю. Карпов , 09-Ноя-04 13:16 
Я просто блокирую порт:25 для всех получателей, кроме известных релеев (мой релей, релей провайдера, mail.ru и т.п.). Вирус хочет послать себя напрямую - а в ответ тишина... :)

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено BlackSir , 09-Ноя-04 13:22 
>Я просто блокирую порт:25 для всех получателей, кроме известных релеев (мой релей,
С удовольствием заблокировал бы всех нафик, но клиенты выть будут, да и большой начальник не велит :-(

>релей провайдера, mail.ru и т.п.). Вирус хочет послать себя напрямую -
>а в ответ тишина... :)
Ммм... а если вирус захочет послать себя на mail.ru?


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Дмитрий Ю. Карпов , 10-Ноя-04 22:55 
BlackSir:
> С удовольствием заблокировал бы всех нафик, но клиенты выть будут, да и большой начальник не велит :-(

В договор с клиентом пишем пункт, по которому клиент отвечает кошельком за рассылку вирусов. После этого клиент сам просит заблокировать port:25.
Остальные просто сдают провайдеру список используемых ими релеев (чтобы не возиться, port:25 для этих релеев открывается всем клиентам сразу).


BlackSir:
> Ммм... а если вирус захочет послать себя на mail.ru?

А там его ждёт антивирус. :)
Фишка в том, чтобы закрыть вирусам путь на серверы маленьких контор, где нет антивирусов.


Ilya Evseev:
> мало блокировать, надо ещё ставить в известность администратора.

Утречком попил кофе, почитал логи ipfw (он это умеет). Потом взял бензопилу из Doom и пошёл к юзеру с криком: "какой $%& тут пытался отправлять почту, минуя мой релей?". :)


Ilya Evseev:
> как всё-таки быть с вирусами, которые рассылают себя не напрямую, а через сервер отправителя?

Давить антивирусом.

Ilya Evseev:
> но где гарантия, что через него всё-таки никто не просочился и не просочится?

Гарантий нет. Есть лишь способ снизить количество вирусов.


Ilya Evseev:
> современный вирус не обязательно будет атаковать других своими копиями - он может атаковать и спамом.

Большиснтво сапм-машин работают напрямую - ту-то блокировка работает лучше, чем перенаправление.


Аноним:
> Служба безопасности после первого abuse звонит клиенту, показывает договор и ласково обьясняет, что они были отключены нах

Не "нах", а только "по порту:25" - этого достаточно.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 09-Ноя-04 16:44 
Во-первых, мало блокировать, надо ещё ставить в известность администратора.
Во-вторых, как всё-таки быть с вирусами, которые рассылают себя не напрямую, а через сервер отправителя?

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено BlackSir , 09-Ноя-04 16:49 
>Во-первых, мало блокировать, надо ещё ставить в известность администратора.
>Во-вторых, как всё-таки быть с вирусами, которые рассылают себя не напрямую, а
>через сервер отправителя?


Зацени:

SMTP-server inet.vnii.number.ru virus report 2004-09-30
Total rejected viruses: 70554
---------------------------------------------------
     IP           E-mails     Virus(es)
---------------------------------------------------
192.168.212.14    43744    Worm.Bagle.AP(43744)
192.168.200.199   10668    Worm.Bagle.AP(10668)
192.168.218.11     5290    Worm.Mydoom.M(4877), Worm.SomeFool.Gen-1(413)
192.168.212.11     5190    Worm.Bagle.AP(5190)
212.248.40.206     2186    Worm.Mydoom.I(1993), Worm.Bagle.AG(193)
192.168.200.138    1953    Worm.Bagle.AP(1953)
192.168.220.24      772    Worm.Bagle.Gen-vbs(772)
192.168.220.10      607    Worm.Bagle.AP(607)
212.248.40.166      103    Worm.Zafi.B(103)
195.151.227.101       6    Worm.Bagle.AP(6)
213.142.201.132       6    Worm.Bagle.AP(6)
212.116.236.22        5    Worm.Bagle.AP(3), Worm.Bagle.Z(2)
194.149.234.67        3    Worm.Bagle.AP(3)
195.128.137.104       3    Worm.Bagle.AP(3)
217.26.165.3          3    Worm.Bagle.AP(3)
81.201.65.61          2    Worm.Mydoom.I(2)
195.239.6.228         2    Worm.Mydoom.M(2)
62.118.144.239        2    Worm.SomeFool.P(2)
80.95.35.63           1    Worm.SomeFool.P(1)
60.48.81.56           1    Worm.SomeFool.P(1)
212.248.40.142        1    Worm.Bagle.AP(1)
80.95.41.53           1    Worm.SomeFool.P(1)
212.248.100.79        1    Worm.Bagle.Gen-vbs(1)
212.176.219.2         1    Worm.Bagle.Gen-zippwd(1)
62.118.148.132        1    Worm.SomeFool.P(1)
62.213.0.89           1    Worm.Bagle.AP(1)
62.118.156.45         1    Worm.SomeFool.P(1)


Virus toplist
---------------------------------------------------
     %       E-mails     Virus
---------------------------------------------------
   89.52      63157    Worm.Bagle
    9.74       6874    Worm.Mydoom
    0.60        420    Worm.SomeFool
    0.15        103    Worm.Zafi


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 10-Ноя-04 19:56 
>Зацени:
>SMTP-server inet.vnii.number.ru virus report 2004-09-30
>Total rejected viruses: 70554
> ...
Впечатляющий список, но где гарантия, что через него всё-таки никто не просочился и не просочится?;-)) Кроме того, исходящий спам тоже ловится? Ведь современный вирус не обязательно будет атаковать других своими копиями - он может атаковать и спамом.

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено bob , 11-Ноя-04 16:10 
Прекрасная статья, большое Вам спасибо. Правда, по прочтении у меня возник дурацкий вопрос. Вот наша корпорация юзает Бат, SMTP на нестандартном порту - это значит, что "питательная среда" для вируса отсутствует. Зачем же тогда создавать ее своими руками? Ну пришел юзеру вирус, ну запустил его юзер. Размножиться он (вирус) не может, благо окружение нестандартное. Максимум проблем - отформатированный юзерский хард:) Но от этого предложенная Вами система все равно не спасет.

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 14-Ноя-04 03:50 
> Размножиться он (вирус) не может
Один и тот же вирус может уметь размножаться не только по почте,
а многими способами. Среди них могут быть и те, которые работают
только в локальной сети, например, эксплойты в SMB,
или заражение DOC-файлов в общих папках на сервере.

> Максимум проблем - отформатированный юзерский хард
> Но от этого предложенная Вами система все равно не спасет.
Если он сначала пытается размножиться по почте,
и попадётся в почтовую ловушку,
то у сисадмина появится время этому помешать.


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено pazke , 11-Ноя-04 10:00 
А не проще ли сделать так:
- настраиваем на почтовом сервере SMTP авторизацию;
- запрещаем принимать почту из локальных сетей при отсутствии авторизации;
- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.

Поскольку практически 100% вновь появляющихся почтовых червей рассылают письма прямиком на серверы получателей, все они получат отлуп. Если же попадется какой-то старинный вирь использующий MUA для рассылки себя, так его скосит установленный на почтовике clamav. А чтобы капать на мозги пользователям зараженных компьютеров можно легко соорудить анализатор логов почтовика, например на базе logcheck'a. И никаких извращений...


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Vladimir , 11-Ноя-04 11:53 
Опишите заворот 25 порта на маршрутизаторе типа киско 36хх пожалуйста.

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 14-Ноя-04 03:45 
>А не проще ли сделать так:
Не надо путать две задачи:
1) обнаружить вирус,
2) пресечь его деятельность.
Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую.

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено pev2000 , 14-Ноя-04 11:53 
>>А не проще ли сделать так:
>Не надо путать две задачи:
>1) обнаружить вирус,
>2) пресечь его деятельность.
>Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую.

Брррр... ерудна какая та, если уж случилось первое(обнаружили мы вирус) почему бы нам не сделать второе(пресечь его разпространение) и правильно сказали соорудить маленький анализатор логов и все пучком, а если у меня будет в сети такая настройка то _большинство_ виров уйдет ровно через шлюз и чихать им на настройки оутлука... а может потому что он у меня отсутствует? =)

если вдруг случилось что одна из машин заразилась неизвестной заразой, тогда один из клиентов начинает бурную деятельность в логи это пишится а после N-го коннекта клиент блочиться до разбора полетов


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено pev2000 , 14-Ноя-04 12:46 
>А не проще ли сделать так:
>- настраиваем на почтовом сервере SMTP авторизацию;
>- запрещаем принимать почту из локальных сетей при отсутствии авторизации;
>- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.
>
вот-вот! правильное решение, но тут один "но!" - это отправка через "например" mail.ru? а у нас стоит заворот на сервер с авторизацией и клиент получит отлуп, тут придется применять еще кучу приблуд или для довереных клиентов разрешать посылку без авторизации

Кстати! spamassassin бывает пресекает вирусы еще до того как они дойдут до антивуриса, так что уважаемый Ilya Evseev не думаю что хоть некоторые конторы согласятся терпеть два сервера =) а тем более(еще раз повторюсь) не каждый админ будет городить такой огород!

Тем более если у меня есть в сети клиент который по ряду причин использует оутлук и не может использовать что либо другое, тогда нужно будет настроить его оутлук на правильный сервер, при получении этим клиентом вируса


"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Kiev1.org , 11-Ноя-04 14:14 
Так spamassassin на порядок лучше ловит и неизвестные вирусы - зачем антивирус - я вообще не понимаю - правильно баес настроить, правила подкрутить и все

"Организация почтовых ловушек для обнаружения вирусов"
Отправлено Ilya Evseev , 14-Ноя-04 03:43 
>Так spamassassin на порядок лучше ловит и неизвестные вирусы
И полиморфные тоже???