forum.opennet.ru - "Спам вирус" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Спам вирус"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Спам вирус"
Сообщение от Gidz on 21-Окт-08, 09:07
Здравствуйте. Подскажите, вчера от провайдеро пришло сообщение, что с какого-то кампьютера в сети проискодит рассылка спама. Компьютеров в сети 30, и 1 почтовый сервер(postfix). Почтовые клиеты в сети настроенны на локальный сервер, а он уже перебрасывает всю почту через провайдерский smtp. Вообщем подскажите, как можно выявить компьютер с которого происходит рассылка спама, и как можно на сервере в сети разрешить работоту с 25 портом только почтовому серверу postfix? ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был сбой в работе почтового сервера, и возможно писма сотрудников оставались в очереде на сервере, потом когда я его перезагрузил они сразу все отправились и провайдер посчитал это за спам. возможно ли такое?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Спам вирус, Happy_demon, 10:43 , 21-Окт-08, (1)

Спам вирус, Gidz, 10:56 , 21-Окт-08, (2)

Спам вирус, pavel_simple, 10:58 , 21-Окт-08, (3)

Спам вирус, Gidz, 15:39 , 21-Окт-08, (4)

Спам вирус, Gidz, 17:14 , 21-Окт-08, (5)

Спам вульгарис, Andrey Mitrofanov, 17:33 , 21-Окт-08, (6)

Спам вирус, DogEater, 21:08 , 21-Окт-08, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Спам вирус"

Сообщение от Happy_demon (ok) on 21-Окт-08, 10:43

>ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был
>сбой в работе почтового сервера, и возможно писма сотрудников оставались в
>очереде на сервере, потом когда я его перезагрузил они сразу все
>отправились и провайдер посчитал это за спам. возможно ли такое?
у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе разрешил доступ по 25-му порту только к нашему почтовику, а ко всем остальным закрыл.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Спам вирус"

Сообщение от Gidz on 21-Окт-08, 10:56

>>ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был
>>сбой в работе почтового сервера, и возможно писма сотрудников оставались в
>>очереде на сервере, потом когда я его перезагрузил они сразу все
>>отправились и провайдер посчитал это за спам. возможно ли такое?
>
>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе
>разрешил доступ по 25-му порту только к нашему почтовику, а ко
>всем остальным закрыл.
да у меня во внешку 25 закрыть вообще, это кто-то из лакалки через 25 порт что-то шлет. А кто не могу найти. Может быть какой нить анализатор пакетов на сервак можно поставить или еще что?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Спам вирус"

Сообщение от pavel_simple (??) on 21-Окт-08, 10:58

>[оверквотинг удален]
>>>отправились и провайдер посчитал это за спам. возможно ли такое?
>>
>>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе
>>разрешил доступ по 25-му порту только к нашему почтовику, а ко
>>всем остальным закрыл.
>
>да у меня во внешку 25 закрыть вообще, это кто-то из лакалки
>через 25 порт что-то шлет. А кто не могу найти. Может
>быть какой нить анализатор пакетов на сервак можно поставить или еще
>что?
pflogsum и посмотреть что он покажет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Спам вирус"

Сообщение от Gidz on 21-Окт-08, 15:39

>[оверквотинг удален]
>>>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе
>>>разрешил доступ по 25-му порту только к нашему почтовику, а ко
>>>всем остальным закрыл.
>>
>>да у меня во внешку 25 закрыть вообще, это кто-то из лакалки
>>через 25 порт что-то шлет. А кто не могу найти. Может
>>быть какой нить анализатор пакетов на сервак можно поставить или еще
>>что?
>
>pflogsum и посмотреть что он покажет
Не, ну в логах postfix ничего нет, тоесть за день если писем 50 было и то хорошо, провайдер же мне сказал что примерное колличество писем с нашего ип было 100 в минуту. И порог срабатывания у них спам фильтра что-то около 3000.
Проверил сегодня все компьютеры, нашел на некоторых вирусы... На сервере еще стоит netams,
в режиме бездействия с некоторых компов продолжал идти траф с 25 порта... их и проверял на вирусы, может есть какая нить программа в режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера по определенному порту?
Или может можно дать разрешение на шлюзе на 25 порт только для postfix?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Спам вирус"

Сообщение от Gidz on 21-Окт-08, 17:14

>[оверквотинг удален]
>колличество писем с нашего ип было 100 в минуту. И порог
>срабатывания у них спам фильтра что-то около 3000.
>Проверил сегодня все компьютеры, нашел на некоторых вирусы... На сервере еще стоит
>netams,
>в режиме бездействия с некоторых компов продолжал идти траф с 25 порта...
>их и проверял на вирусы, может есть какая нить программа в
>режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера
>по определенному порту?
>Или может можно дать разрешение на шлюзе на 25 порт только для
>postfix?
эххх, хотел прописать в iptables
# iptables -A FORWARD -p tcp -s $ip --dport 25 -j REJECT
но пишет что
Bad argument `25'
Try `iptables -h' or 'iptables --help' for more information.
подскажите как правильно должна писаться эта запись?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Спам вульгарис"

Сообщение от Andrey Mitrofanov on 21-Окт-08, 17:33

>>Или может можно дать разрешение на шлюзе на 25 порт только для
>>postfix?
>эххх, хотел прописать в iptables
># iptables -A FORWARD -p tcp -s $ip --dport 25 -j REJECT
>но пишет что
>Bad argument `25'
Может, переменная $ip - пустая?...
Ж-) http://www.opennet.me/openforum/vsluhforumID15/2249.html#2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Спам вирус"

Сообщение от DogEater (??) on 21-Окт-08, 21:08

>>[оверквотинг удален]
> есть какая нить программа в
>режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера
>по определенному порту?
Вечер удался. :):):)
если трафик наружу идёт *nix сервер, то man tcpdump

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Спам вирус"
Сообщение от Happy_demon (ok) on 21-Окт-08, 10:43
>ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был >сбой в работе почтового сервера, и возможно писма сотрудников оставались в >очереде на сервере, потом когда я его перезагрузил они сразу все >отправились и провайдер посчитал это за спам. возможно ли такое? у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе разрешил доступ по 25-му порту только к нашему почтовику, а ко всем остальным закрыл.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Спам вирус"
	Сообщение от Gidz on 21-Окт-08, 10:56
	>>ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был >>сбой в работе почтового сервера, и возможно писма сотрудников оставались в >>очереде на сервере, потом когда я его перезагрузил они сразу все >>отправились и провайдер посчитал это за спам. возможно ли такое? > >у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе >разрешил доступ по 25-му порту только к нашему почтовику, а ко >всем остальным закрыл. да у меня во внешку 25 закрыть вообще, это кто-то из лакалки через 25 порт что-то шлет. А кто не могу найти. Может быть какой нить анализатор пакетов на сервак можно поставить или еще что?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Спам вирус"
	Сообщение от pavel_simple (??) on 21-Окт-08, 10:58
	>[оверквотинг удален] >>>отправились и провайдер посчитал это за спам. возможно ли такое? >> >>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе >>разрешил доступ по 25-му порту только к нашему почтовику, а ко >>всем остальным закрыл. > >да у меня во внешку 25 закрыть вообще, это кто-то из лакалки >через 25 порт что-то шлет. А кто не могу найти. Может >быть какой нить анализатор пакетов на сервак можно поставить или еще >что? pflogsum и посмотреть что он покажет
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Спам вирус"
	Сообщение от Gidz on 21-Окт-08, 15:39
	>[оверквотинг удален] >>>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе >>>разрешил доступ по 25-му порту только к нашему почтовику, а ко >>>всем остальным закрыл. >> >>да у меня во внешку 25 закрыть вообще, это кто-то из лакалки >>через 25 порт что-то шлет. А кто не могу найти. Может >>быть какой нить анализатор пакетов на сервак можно поставить или еще >>что? > >pflogsum и посмотреть что он покажет Не, ну в логах postfix ничего нет, тоесть за день если писем 50 было и то хорошо, провайдер же мне сказал что примерное колличество писем с нашего ип было 100 в минуту. И порог срабатывания у них спам фильтра что-то около 3000. Проверил сегодня все компьютеры, нашел на некоторых вирусы... На сервере еще стоит netams, в режиме бездействия с некоторых компов продолжал идти траф с 25 порта... их и проверял на вирусы, может есть какая нить программа в режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера по определенному порту? Или может можно дать разрешение на шлюзе на 25 порт только для postfix?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Спам вирус"
	Сообщение от Gidz on 21-Окт-08, 17:14
	>[оверквотинг удален] >колличество писем с нашего ип было 100 в минуту. И порог >срабатывания у них спам фильтра что-то около 3000. >Проверил сегодня все компьютеры, нашел на некоторых вирусы... На сервере еще стоит >netams, >в режиме бездействия с некоторых компов продолжал идти траф с 25 порта... >их и проверял на вирусы, может есть какая нить программа в >режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера >по определенному порту? >Или может можно дать разрешение на шлюзе на 25 порт только для >postfix? эххх, хотел прописать в iptables # iptables -A FORWARD -p tcp -s $ip --dport 25 -j REJECT но пишет что Bad argument `25' Try `iptables -h' or 'iptables --help' for more information. подскажите как правильно должна писаться эта запись?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Спам вульгарис"
	Сообщение от Andrey Mitrofanov on 21-Окт-08, 17:33
	>>Или может можно дать разрешение на шлюзе на 25 порт только для >>postfix? >эххх, хотел прописать в iptables ># iptables -A FORWARD -p tcp -s $ip --dport 25 -j REJECT >но пишет что >Bad argument `25' Может, переменная $ip - пустая?... Ж-) http://www.opennet.me/openforum/vsluhforumID15/2249.html#2
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Спам вирус"
	Сообщение от DogEater (??) on 21-Окт-08, 21:08
	>>[оверквотинг удален] > есть какая нить программа в >режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера >по определенному порту? Вечер удался. :):):) если трафик наружу идёт *nix сервер, то man tcpdump
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]