Привет.
За последние пару дней несколько раз попал в спамлист Spamhaus.org,
там пишут:
This was detected by a TCP/IP connection from $myexpip on port 64631 going to IP address 192.42.116.41 (the sinkhole) on port 80.The botnet command and control domain for this connection was "fusdsssufsd3.com".
Я так понимаю, кто-то подцепил вирусню.
Гейтом стоит Ubuntu, часть пользователей идет через сквид, некоторые напрямую просто за натом. Как вычислить от какого компа в сети идет какашка?Тут же второй вопрос.
За тем же натом есть почта на Exchange. Как сделать правила проброса портов так, чтобы почтовик в отправителе видел ip отправителя, а не ip моего гейта?
Сейчас проброс делается вот такими правилами:
iptables -t nat -A PREROUTING -i eth1 -p tcp -d $EXTIP --dport 25 -j DNAT --to-destination $MAILIP:25
iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport 25 -j SNAT --to-source $EXTIP
>[оверквотинг удален]
> натом. Как вычислить от какого компа в сети идет какашка?
> Тут же второй вопрос.
> За тем же натом есть почта на Exchange. Как сделать правила проброса
> портов так, чтобы почтовик в отправителе видел ip отправителя, а не
> ip моего гейта?
> Сейчас проброс делается вот такими правилами:
> iptables -t nat -A PREROUTING -i eth1 -p tcp -d $EXTIP --dport
> 25 -j DNAT --to-destination $MAILIP:25
> iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport
> 25 -j SNAT --to-source $EXTIPПервый вопрос:
"The botnet command and control domain for this connection was "fusdsssufsd3.com"."
Найти обращающийся на "fusdsssufsd3.com" хост....Второй вопрос:
Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
(SNAT)Пожелание - научится не только читать HowTo, но и попытаться их понять....
>[оверквотинг удален]
>> 25 -j DNAT --to-destination $MAILIP:25
>> iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport
>> 25 -j SNAT --to-source $EXTIP
> Первый вопрос:
> "The botnet command and control domain for this connection was "fusdsssufsd3.com"."
> Найти обращающийся на "fusdsssufsd3.com" хост....
> Второй вопрос:
> Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
> (SNAT)
> Пожелание - научится не только читать HowTo, но и попытаться их понять....Спасибо.
По первому вопросу, это я понял, вопрос в том КАК найти этого юзера?
По второму, я правильно понял, что нужно просто убрать второе правило (содержащее SNAT)?
>[оверквотинг удален]
>> Первый вопрос:
>> "The botnet command and control domain for this connection was "fusdsssufsd3.com"."
>> Найти обращающийся на "fusdsssufsd3.com" хост....
>> Второй вопрос:
>> Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
>> (SNAT)
>> Пожелание - научится не только читать HowTo, но и попытаться их понять....
> Спасибо.
> По первому вопросу, это я понял, вопрос в том КАК найти этого
> юзера?По логам сквида??
Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41) порт 80??
Отслеживать tcpdump-ом в реальном времени?
Выбор средства или их комбинации за вами.> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
> SNAT)?Если все везде настроено соответствующим образом то да.
>[оверквотинг удален]
>> По первому вопросу, это я понял, вопрос в том КАК найти этого
>> юзера?
> По логам сквида??
> Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41)
> порт 80??
> Отслеживать tcpdump-ом в реальном времени?
> Выбор средства или их комбинации за вами.
>> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
>> SNAT)?
> Если все везде настроено соответствующим образом то да.Тот, кто обращается на этот ресурс скоре всего сидит мимо сквида, можно пожалуйста пример правила для отслеживания фаерволом?
tcpdump за сутки по названию сайта не записал ни одного обращения.
>[оверквотинг удален]
>> Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41)
>> порт 80??
>> Отслеживать tcpdump-ом в реальном времени?
>> Выбор средства или их комбинации за вами.
>>> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
>>> SNAT)?
>> Если все везде настроено соответствующим образом то да.
> Тот, кто обращается на этот ресурс скоре всего сидит мимо сквида, можно
> пожалуйста пример правила для отслеживания фаерволом?
> tcpdump за сутки по названию сайта не записал ни одного обращения.Для начала посмотрите
http://www.opennet.me/docs/RUS/iptables/#TABLE.LOGTARGET