Статья полугодичной давности, но (надеюсь) не потерявшая актуальности. Рассматривает организацию фальшивого почтового сервера на базе Linux, предназначенного собирать из локальной сети спам, генерируемый вирусами на заражённых рабочих станциях, блокировать его и сообщать админу.URL: http://ilya-evseev.narod.ru/articles/smtptrap/smtptrap-artic...
Новость: http://www.opennet.me/opennews/art.shtml?num=4626
Что то как то сложно... во первых как мне показалось - вирусы сами стучатся на 25 порт сервера получателя, обходя этим самым настройки всяких Outlook'ов.
Не проще ли сделать на маршрутизаторе заворот на 25 порт локального smtp сервера(на маршрутезаторе BSD сделано "ipfw add fwd 127.0.0.1,25 tcp from any to any 25 in via fxp0" и все радуются жизни) где антивирус проверяет проходящую почту и отправляет его либо напрямую на сервер получателя, либо на smtp провайдера
Согласен, я пользуют прозрачное проксирование всего исходящего SMTP-траффика средствами natd (+пару правил в ipfw естественно) в локальный Exim+ClamAV:
/sbin/natd -p 8669 -proxy_only -proxy_rule port 25 server x.y.z.t:25 -reverseВсе замечательно работает, машинка с P3-1133 максимум за день хавала ~100тыс писем с вирусами. Не подавилась и практически не тормозила. Обдумываю вариант поставить в качестве frontend security/clamsmtp дабы избавить Exim от грязной работы.
А каким это, интересно, боком такая машинка может пропускать столько писем с вирьем, откуда его вообще стлько? У меня основной релэй тянет от половины до одного мегаписьма в сутки, при этом вирья, по репортам, всего несколько килописем. В дни эпидемии - до нескольких десятков килописем. Но откуда обьемы около ста килописем в сутки с вирусами ? Что у тебя за сетка, в которой столько завирусованных маших ? Или ты их специально разводишь ?Смахивает на что-то левое.
Отвечаю: Если стоит прозрачное проксирование то вири при обращении напрямую к ЛЮБОМУ серваку попадают на мой релей, соответсвенно ВЕСЬ вирусный траффик обрабатывается моим сервером. Второе: я не обязан и не буду лечить машины клиентов(могу только на мозги им капать), а вот манагеры не дают их отлючать от инета :-(все еще сомневаешься? mailto:blacksir@number.ru
я понимаю что к ЛЮБОМУ СЕРВАКУ.Так бы и сказал что у тебя релей
я понимаю что к ЛЮБОМУ СЕРВАКУ.Так бы и сказал - что это сервер ISP. Я про корпоративный MTA говорю.
> вирусы сами стучатся на 25 порт сервера получателя,
> обходя этим самым настройки всяких Outlook'ов.
Не всегда, это только один из вариантов.
В статье написано - автор имел счастье наблюдать,
как вирус рассылал спам через местный SMTP-сервер.> антивирус проверяет проходящую почту
Антивирус - не панацея.
Предложенное решение (которое тем более не панацея) его дополняет.
Кроме того, вирус может рассылать не только себя, но и спам.
> через местный SMTP-сервер.
что значит местный? (это тот который прописан в оутлуке?) да если у меня все оутлуком пользуются - стандарт корпоративный, даже если кто то не пользуется им, а пользуется чем то вроде Мыши... сам подумай контора - была ну так 20-50 юзеров, предположим ты облетел всех и настроил им оутлук и альтернативный... но потом вы начали рости-рости и выросли до 1000 машин? всех настраивать будешь? всех обучать будешь?
да и потом, если мы хотим защитить мир от нас-зараженых тогда закрыть всем доступ на 25 порт-99% панацея, если уж на то пошло =)
возмем к примеру новомодный вирус I-Worm.Bagle.at для отправки почты червь использует прямое подключение к SMTP-серверу получателя. взято с >>>
http://www.viruslist.com/ru/viruslist.html?id=146123472и таких примеров этому виру море большинство идут напрямую на сервер получателя - либо блочить все конекты на не местные 25-е, либо использовать заворот на сервер с антивиром(у меня локальный он же), да если от пользователя идет много писем - 100 к примеру за минуту то его можно смело блочить(если маленькая конторка) и идти стучать в бубен пользователю, либо сидеть и смотреть дальше =)
> да если у меня все оутлуком пользуются - стандарт корпоративный,
В статье рассмотрено несколько решений для разных вариантов,
в том числе и такого, при котором нужен именно Аутлук, и только он.
Решение - вместо фальшивого почтового клиента и сервера используется фальшивая запись в локальном WAB'е,
а на сервере - срабатывание по приходу писем на этот адрес.> но потом вы начали рости-рости и выросли до 1000 машин?
Вот для этого и нужен аналог WabTool с интерфейсом командной строки.> да и потом, если мы хотим защитить мир от нас-зараженых,
> тогда закрыть всем доступ на 25 порт-99% панацея
Не только и не столько перекрыть ему кислород,
сколько помочь обнаружить его присутствие в дополнение к уже существующим средствам.
Проблема только в том, что кламав не все вирусы отлавливает. Как-то архивы с паролями и т.д.%D%A%D%AРеализовывал такую схему, когда при обращении к внешнему смтп, делался REDIRECT на локальный smtp, но больно неудобно разбирать почту вирусную в ручную. А без разбора - понту ее ловить. Потому - все таки вернулся к схеме - заблокирован smtp в FORWARD, вся исходящяя почта сканируеться kavd - зараженная складывается в папку админу, где проходят проверку на вшивость.
>Проблема только в том, что кламав не все вирусы отлавливает.
На самом деле - практически все, а насчет архивов с паролями есть опция:
# Mark encrypted archives as viruses (Encrypted.Zip, Encrypted.RAR).
# Default: disabled
#ArchiveBlockEncrypted
>А без разбора - понту ее ловить.
А вы никогда в блок-листы не попадали? Со 100тыс. вирей в сутки это более чем реально :-(
Лечить клиентские машины в моем случае нельзя. Можно только раз в неделю(или чаще, пока не надоест) звонить клиентам и напоминать что у них де, злёбный вирус поселился. Зато когда на mail.ru, mtu-net.ru и т.п. почта перестает ходить они первые будут звонить - ругацца.
Служба безопасности после первого abuse звонит клиенту, показывает договор и ласково обьясняет, что они были отключены нах, и будут включены после того, как все у себя почистят. А если не так, то виноваты в этом манагеры, слишком активно лижущие клиентам задницу и заставляющие тем же заниматься и технарей.
>> Проблема только в том, что кламав не все вирусы отлавливает.
> На самом деле - практически все, а насчет архивов с паролями есть опция:
Всегда найдётся архив, который понимает рабочая станция с Windows, но не поймёт сервер с Юнихом.
Всегда найдётся вирус, не успевший попасть в базу.
Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
или принесённый пользователем на флэшке файл.
> Всегда найдётся вирус, не успевший попасть в базу.
Да такое бывает обносляеся чаще!!!> Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
Уважаемый! Вы сами имели честь читать статью? (если коротко: "Там обисан способ отлова писем которые хотят во внешний мир, то есть защита мира от нас (от наших клиентов) завирусованых")
Выход вира через отправку с Веб-страницы %-) я снимаю свою панаму, перед этим вирусо-писателем =)> или принесённый пользователем на флэшке файл.
Да бывает такие печальные случаи когда новый "I-Worm.Mydoom" приносят на дискетке ;-) и просят его поглядеть: "Что то прислали - не открывается"
>> Всегда найдётся вирус, не успевший попасть в базу.
> Да такое бывает обносляеся чаще!!!
А если вирус атаковал вас раньше, чем Clam успел выпустить обновление?>> Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
> Уважаемый! Вы сами имели честь читать статью?
Не только читал, но и написал её тоже я.>Выход вира через отправку с Веб-страницы %-)
Имелся в виду не выход вируса от нас во внешний мир,
а его проникновение из внешнего мира к нам.
Разве не может вирус распространяться через Веб,
чтобы рассылать спам через мыло?
Clam интегрируется со Сквидом, но, насколько мне известно,
решение ещё не настолько обкатанное, как с SMTP-сервером.
К тому же Веб-клиент может получать с вирусом страницу кусками/многопоточно/etc. - тут антивирус на проксе не поможет.
Снова таки - для корпоративного антивиря кламав не подходит - хоть убейте.
Если у тебя почты от 5000 пользователей - и доля не блокированных вирусов 2-3 процента - действительно немного. Но когда почты не много (пусть 30 мег в день) и есть возможность смотреть всю почту вручную (просматривать отлупы и т.д.) то 2-3 неотловленных вируса - это бедствие.>А вы никогда в блок-листы не попадали? Со 100тыс. вирей в сутки это более чем реально :-(
не доводилось, доводилось выводить незадачливых клиентов из блеклистов.
Но снова таки, перед нами разные задачи стоят. У Вас сервер ISP, у меня корпоративный почтовик.
согласен с Вашими методами, в Вашем случае.
Я просто блокирую порт:25 для всех получателей, кроме известных релеев (мой релей, релей провайдера, mail.ru и т.п.). Вирус хочет послать себя напрямую - а в ответ тишина... :)
>Я просто блокирую порт:25 для всех получателей, кроме известных релеев (мой релей,
С удовольствием заблокировал бы всех нафик, но клиенты выть будут, да и большой начальник не велит :-(>релей провайдера, mail.ru и т.п.). Вирус хочет послать себя напрямую -
>а в ответ тишина... :)
Ммм... а если вирус захочет послать себя на mail.ru?
BlackSir:
> С удовольствием заблокировал бы всех нафик, но клиенты выть будут, да и большой начальник не велит :-(В договор с клиентом пишем пункт, по которому клиент отвечает кошельком за рассылку вирусов. После этого клиент сам просит заблокировать port:25.
Остальные просто сдают провайдеру список используемых ими релеев (чтобы не возиться, port:25 для этих релеев открывается всем клиентам сразу).
BlackSir:
> Ммм... а если вирус захочет послать себя на mail.ru?А там его ждёт антивирус. :)
Фишка в том, чтобы закрыть вирусам путь на серверы маленьких контор, где нет антивирусов.
Ilya Evseev:
> мало блокировать, надо ещё ставить в известность администратора.Утречком попил кофе, почитал логи ipfw (он это умеет). Потом взял бензопилу из Doom и пошёл к юзеру с криком: "какой $%& тут пытался отправлять почту, минуя мой релей?". :)
Ilya Evseev:
> как всё-таки быть с вирусами, которые рассылают себя не напрямую, а через сервер отправителя?Давить антивирусом.
Ilya Evseev:
> но где гарантия, что через него всё-таки никто не просочился и не просочится?Гарантий нет. Есть лишь способ снизить количество вирусов.
Ilya Evseev:
> современный вирус не обязательно будет атаковать других своими копиями - он может атаковать и спамом.Большиснтво сапм-машин работают напрямую - ту-то блокировка работает лучше, чем перенаправление.
Аноним:
> Служба безопасности после первого abuse звонит клиенту, показывает договор и ласково обьясняет, что они были отключены нахНе "нах", а только "по порту:25" - этого достаточно.
Во-первых, мало блокировать, надо ещё ставить в известность администратора.
Во-вторых, как всё-таки быть с вирусами, которые рассылают себя не напрямую, а через сервер отправителя?
>Во-первых, мало блокировать, надо ещё ставить в известность администратора.
>Во-вторых, как всё-таки быть с вирусами, которые рассылают себя не напрямую, а
>через сервер отправителя?
Зацени:SMTP-server inet.vnii.number.ru virus report 2004-09-30
Total rejected viruses: 70554
---------------------------------------------------
IP E-mails Virus(es)
---------------------------------------------------
192.168.212.14 43744 Worm.Bagle.AP(43744)
192.168.200.199 10668 Worm.Bagle.AP(10668)
192.168.218.11 5290 Worm.Mydoom.M(4877), Worm.SomeFool.Gen-1(413)
192.168.212.11 5190 Worm.Bagle.AP(5190)
212.248.40.206 2186 Worm.Mydoom.I(1993), Worm.Bagle.AG(193)
192.168.200.138 1953 Worm.Bagle.AP(1953)
192.168.220.24 772 Worm.Bagle.Gen-vbs(772)
192.168.220.10 607 Worm.Bagle.AP(607)
212.248.40.166 103 Worm.Zafi.B(103)
195.151.227.101 6 Worm.Bagle.AP(6)
213.142.201.132 6 Worm.Bagle.AP(6)
212.116.236.22 5 Worm.Bagle.AP(3), Worm.Bagle.Z(2)
194.149.234.67 3 Worm.Bagle.AP(3)
195.128.137.104 3 Worm.Bagle.AP(3)
217.26.165.3 3 Worm.Bagle.AP(3)
81.201.65.61 2 Worm.Mydoom.I(2)
195.239.6.228 2 Worm.Mydoom.M(2)
62.118.144.239 2 Worm.SomeFool.P(2)
80.95.35.63 1 Worm.SomeFool.P(1)
60.48.81.56 1 Worm.SomeFool.P(1)
212.248.40.142 1 Worm.Bagle.AP(1)
80.95.41.53 1 Worm.SomeFool.P(1)
212.248.100.79 1 Worm.Bagle.Gen-vbs(1)
212.176.219.2 1 Worm.Bagle.Gen-zippwd(1)
62.118.148.132 1 Worm.SomeFool.P(1)
62.213.0.89 1 Worm.Bagle.AP(1)
62.118.156.45 1 Worm.SomeFool.P(1)
Virus toplist
---------------------------------------------------
% E-mails Virus
---------------------------------------------------
89.52 63157 Worm.Bagle
9.74 6874 Worm.Mydoom
0.60 420 Worm.SomeFool
0.15 103 Worm.Zafi
>Зацени:
>SMTP-server inet.vnii.number.ru virus report 2004-09-30
>Total rejected viruses: 70554
> ...
Впечатляющий список, но где гарантия, что через него всё-таки никто не просочился и не просочится?;-)) Кроме того, исходящий спам тоже ловится? Ведь современный вирус не обязательно будет атаковать других своими копиями - он может атаковать и спамом.
Прекрасная статья, большое Вам спасибо. Правда, по прочтении у меня возник дурацкий вопрос. Вот наша корпорация юзает Бат, SMTP на нестандартном порту - это значит, что "питательная среда" для вируса отсутствует. Зачем же тогда создавать ее своими руками? Ну пришел юзеру вирус, ну запустил его юзер. Размножиться он (вирус) не может, благо окружение нестандартное. Максимум проблем - отформатированный юзерский хард:) Но от этого предложенная Вами система все равно не спасет.
> Размножиться он (вирус) не может
Один и тот же вирус может уметь размножаться не только по почте,
а многими способами. Среди них могут быть и те, которые работают
только в локальной сети, например, эксплойты в SMB,
или заражение DOC-файлов в общих папках на сервере.> Максимум проблем - отформатированный юзерский хард
> Но от этого предложенная Вами система все равно не спасет.
Если он сначала пытается размножиться по почте,
и попадётся в почтовую ловушку,
то у сисадмина появится время этому помешать.
А не проще ли сделать так:
- настраиваем на почтовом сервере SMTP авторизацию;
- запрещаем принимать почту из локальных сетей при отсутствии авторизации;
- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.Поскольку практически 100% вновь появляющихся почтовых червей рассылают письма прямиком на серверы получателей, все они получат отлуп. Если же попадется какой-то старинный вирь использующий MUA для рассылки себя, так его скосит установленный на почтовике clamav. А чтобы капать на мозги пользователям зараженных компьютеров можно легко соорудить анализатор логов почтовика, например на базе logcheck'a. И никаких извращений...
Опишите заворот 25 порта на маршрутизаторе типа киско 36хх пожалуйста.
>А не проще ли сделать так:
Не надо путать две задачи:
1) обнаружить вирус,
2) пресечь его деятельность.
Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую.
>>А не проще ли сделать так:
>Не надо путать две задачи:
>1) обнаружить вирус,
>2) пресечь его деятельность.
>Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую.Брррр... ерудна какая та, если уж случилось первое(обнаружили мы вирус) почему бы нам не сделать второе(пресечь его разпространение) и правильно сказали соорудить маленький анализатор логов и все пучком, а если у меня будет в сети такая настройка то _большинство_ виров уйдет ровно через шлюз и чихать им на настройки оутлука... а может потому что он у меня отсутствует? =)
если вдруг случилось что одна из машин заразилась неизвестной заразой, тогда один из клиентов начинает бурную деятельность в логи это пишится а после N-го коннекта клиент блочиться до разбора полетов
>А не проще ли сделать так:
>- настраиваем на почтовом сервере SMTP авторизацию;
>- запрещаем принимать почту из локальных сетей при отсутствии авторизации;
>- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.
>
вот-вот! правильное решение, но тут один "но!" - это отправка через "например" mail.ru? а у нас стоит заворот на сервер с авторизацией и клиент получит отлуп, тут придется применять еще кучу приблуд или для довереных клиентов разрешать посылку без авторизацииКстати! spamassassin бывает пресекает вирусы еще до того как они дойдут до антивуриса, так что уважаемый Ilya Evseev не думаю что хоть некоторые конторы согласятся терпеть два сервера =) а тем более(еще раз повторюсь) не каждый админ будет городить такой огород!
Тем более если у меня есть в сети клиент который по ряду причин использует оутлук и не может использовать что либо другое, тогда нужно будет настроить его оутлук на правильный сервер, при получении этим клиентом вируса
Так spamassassin на порядок лучше ловит и неизвестные вирусы - зачем антивирус - я вообще не понимаю - правильно баес настроить, правила подкрутить и все
>Так spamassassin на порядок лучше ловит и неизвестные вирусы
И полиморфные тоже???