URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7168
[ Назад ]

Исходное сообщение
"Как узнать от какой машины идет спам?"
Отправлено geef , 03-Мрт-15 15:25

Привет.
За последние пару дней несколько раз попал в спамлист Spamhaus.org,
там пишут:
This was detected by a TCP/IP connection from $myexpip on port 64631 going to IP address 192.42.116.41 (the sinkhole) on port 80.
The botnet command and control domain for this connection was "fusdsssufsd3.com".
Я так понимаю, кто-то подцепил вирусню.
Гейтом стоит Ubuntu, часть пользователей идет через сквид, некоторые напрямую просто за натом. Как вычислить от какого компа в сети идет какашка?
Тут же второй вопрос.
За тем же натом есть почта на Exchange. Как сделать правила проброса портов так, чтобы почтовик в отправителе видел ip отправителя, а не ip моего гейта?
Сейчас проброс делается вот такими правилами:
iptables -t nat -A PREROUTING -i eth1 -p tcp -d $EXTIP --dport 25 -j DNAT --to-destination $MAILIP:25
iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport 25 -j SNAT --to-source $EXTIP

Содержание

Как узнать от какой машины идет спам?,fantom, 16:30 , 03-Мрт-15
- Как узнать от какой машины идет спам?,geef, 17:13 , 03-Мрт-15
  - Как узнать от какой машины идет спам?,fantom, 17:17 , 03-Мрт-15
    - Как узнать от какой машины идет спам?,geef, 17:27 , 03-Мрт-15
      - Как узнать от какой машины идет спам?,fantom, 17:44 , 03-Мрт-15

Сообщения в этом обсуждении

"Как узнать от какой машины идет спам?"
Отправлено fantom , 03-Мрт-15 16:30

>[оверквотинг удален]
> натом. Как вычислить от какого компа в сети идет какашка?
> Тут же второй вопрос.
> За тем же натом есть почта на Exchange. Как сделать правила проброса
> портов так, чтобы почтовик в отправителе видел ip отправителя, а не
> ip моего гейта?
> Сейчас проброс делается вот такими правилами:
> iptables -t nat -A PREROUTING -i eth1 -p tcp -d $EXTIP --dport
> 25 -j DNAT --to-destination $MAILIP:25
> iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport
> 25 -j SNAT --to-source $EXTIP
Первый вопрос:
"The botnet command and control domain for this connection was "fusdsssufsd3.com"."
Найти обращающийся на "fusdsssufsd3.com" хост....
Второй вопрос:
Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
(SNAT)
Пожелание - научится не только читать HowTo, но и попытаться их понять....

"Как узнать от какой машины идет спам?"
Отправлено geef , 03-Мрт-15 17:13

>[оверквотинг удален]
>> 25 -j DNAT --to-destination $MAILIP:25
>> iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport
>> 25 -j SNAT --to-source $EXTIP
> Первый вопрос:
> "The botnet command and control domain for this connection was "fusdsssufsd3.com"."
> Найти обращающийся на "fusdsssufsd3.com" хост....
> Второй вопрос:
> Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
> (SNAT)
> Пожелание - научится не только читать HowTo, но и попытаться их понять....
Спасибо.
По первому вопросу, это я понял, вопрос в том КАК найти этого юзера?
По второму, я правильно понял, что нужно просто убрать второе правило (содержащее SNAT)?

"Как узнать от какой машины идет спам?"
Отправлено fantom , 03-Мрт-15 17:17

>[оверквотинг удален]
>> Первый вопрос:
>> "The botnet command and control domain for this connection was "fusdsssufsd3.com"."
>> Найти обращающийся на "fusdsssufsd3.com" хост....
>> Второй вопрос:
>> Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
>> (SNAT)
>> Пожелание - научится не только читать HowTo, но и попытаться их понять....
> Спасибо.
> По первому вопросу, это я понял, вопрос в том КАК найти этого
> юзера?
По логам сквида??
Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41) порт 80??
Отслеживать tcpdump-ом в реальном времени?
Выбор средства или их комбинации за вами.
> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
> SNAT)?
Если все везде настроено соответствующим образом то да.

"Как узнать от какой машины идет спам?"
Отправлено geef , 03-Мрт-15 17:27

>[оверквотинг удален]
>> По первому вопросу, это я понял, вопрос в том КАК найти этого
>> юзера?
> По логам сквида??
> Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41)
> порт 80??
> Отслеживать tcpdump-ом в реальном времени?
> Выбор средства или их комбинации за вами.
>> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
>> SNAT)?
> Если все везде настроено соответствующим образом то да.
Тот, кто обращается на этот ресурс скоре всего сидит мимо сквида, можно пожалуйста пример правила для отслеживания фаерволом?
tcpdump за сутки по названию сайта не записал ни одного обращения.

"Как узнать от какой машины идет спам?"
Отправлено fantom , 03-Мрт-15 17:44

>[оверквотинг удален]
>> Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41)
>> порт 80??
>> Отслеживать tcpdump-ом в реальном времени?
>> Выбор средства или их комбинации за вами.
>>> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
>>> SNAT)?
>> Если все везде настроено соответствующим образом то да.
> Тот, кто обращается на этот ресурс скоре всего сидит мимо сквида, можно
> пожалуйста пример правила для отслеживания фаерволом?
> tcpdump за сутки по названию сайта не записал ни одного обращения.
Для начала посмотрите
http://www.opennet.me/docs/RUS/iptables/#TABLE.LOGTARGET