https://opennet.ru/openforum/vsluhforumID1/77097.html Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому возник вопрос - как следить за тем, какая машина из локалки заражена и начинает рассылать спам.<br> https://opennet.ru/openforum/vsluhforumID1/77097.html#8 Thu, 01 Nov 2007 20:01:44 GMT &gt;&gt;&gt;ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то <br>&gt;&gt;&gt;чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю <br>&gt;&gt;&gt;на этот счет. <br>&gt;&gt;<br>&gt;&gt;Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если &gt; 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление<br>&gt;<br>&gt;а поделиться можешь? :) mi6@bk.ru <br><br>Был бы рад. Да там такая жуткая аналитическая система ужо построена, что левый чел. просто не разберется... Основную идею я уже сказал, далее - дело за Вами... Вот кусок кода из perl-скрипта:<br>анализирует /var/log/maillog. Учитывает размер посланного...<br><br>while(&lt;&gt;) {<br> if (/^([A-Za-zЮ-Ъю-ъ]+) +([0-9]+).+sendmail.[0-9]+.: +([^ ]+): +from=&lt;?([^,&gt;@]+\@[^, ]+).+ size=([0-9]+).+\ relay=.*\[(192.168.[0-9.]+)\]/) {<br> $m = $1;<br> $d = $2;<br> $date = $m."_".sprintf("%02d",$d);<br> unless ($m{$m}) { print color ("blue")," $m: ",color("yellow"); }<br> unless ($d{$date}) { print "$d.."; ++$sort; https://opennet.ru/openforum/vsluhforumID1/77097.html#7 Thu, 01 Nov 2007 07:09:00 GMT &gt;&gt;ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то <br>&gt;&gt;чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю <br>&gt;&gt;на этот счет. <br>&gt;<br>&gt;Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если &gt; 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление<br><br>а поделиться можешь? :) mi6@bk.ru<br><br><br> https://opennet.ru/openforum/vsluhforumID1/77097.html#6 Thu, 01 Nov 2007 04:40:25 GMT &gt;ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то <br>&gt;чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю <br>&gt;на этот счет. <br><br>запускай в бакграунде с логом в файл, по крону файл анализируй<br>или с логом в трубу, из трубы читай скриптом и оповещайся как хочешь<br> https://opennet.ru/openforum/vsluhforumID1/77097.html#5 Wed, 31 Oct 2007 16:14:55 GMT &gt;ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то <br>&gt;чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю <br>&gt;на этот счет. <br><br>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если &gt; 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление<br> https://opennet.ru/openforum/vsluhforumID1/77097.html#4 Wed, 31 Oct 2007 13:36:08 GMT ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю на этот счет.<br><br> https://opennet.ru/openforum/vsluhforumID1/77097.html#3 Wed, 31 Oct 2007 10:17:49 GMT &gt;tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn) <br><br>tcpdump <br><br> https://opennet.ru/openforum/vsluhforumID1/77097.html#2 Wed, 31 Oct 2007 10:15:27 GMT &gt;на шлюзе - trafd, ngrep, tcpdump? <br>&gt;<br>&gt;&gt;Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому <br>&gt;&gt;возник вопрос - как следить за тем, какая машина из локалки <br>&gt;&gt;заражена и начинает рассылать спам. <br><br>tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn) !=0 and not dst net локальная/сетка<br><br>man tcpdump<br> https://opennet.ru/openforum/vsluhforumID1/77097.html#1 Wed, 31 Oct 2007 09:55:13 GMT на шлюзе - trafd, ngrep, tcpdump?<br><br>&gt;Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому <br>&gt;возник вопрос - как следить за тем, какая машина из локалки <br>&gt;заражена и начинает рассылать спам.