The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Поиск спаммера"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Поиск спаммера"  +/
Сообщение от ksvserega (ok) on 05-Окт-07, 12:08 
Досталась сетка из примерно 200 машин + (почтовый, веб сервер, шлюз в нет)  на Фре 5.3 + сервер Вин2003. Во фре я слабоват, а с недавних пор внешний ИП попал сразу в несколько СпамБаз, что наводит на мысль о вирусе. На локальных машинах стоит клиент симантек антивирус, но похоже не на всех, сервер симантека на 2003, который ниче подозрительного на вирус не сообщает. Обходить каждую машину в сети нет ни физической, ни главное временной возможности, т.к. отправка писем практически парализована, а начальство рвёт и мечет. Собственно вопрос: каким образом на фре можно попытаться вычислить злодея, и как в дальнеёшем оградить себя от подобного?
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Поиск спаммера"  +/
Сообщение от rakis on 05-Окт-07, 13:18 
>вопрос: каким
>образом на фре можно попытаться вычислить злодея, и как в дальнеёшем
>оградить себя от подобного?

1. ввести авторизацию на отправку, разрешить на фаервоел оптравлять почту только серверу. остальным отрубить.
2. выяснить что за MTA, найти анализатор лога к нему, сгенерить отчет и посмотреть на лидера продаж


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Поиск спаммера"  +/
Сообщение от JackRip (??) on 05-Окт-07, 14:02 
А если найти надо здесь и сейчас?
Я смотрю в trafshow кто либо лидер продаж, либо коннектится по smtp.
C удовольствием узнаю более эффективный способ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Поиск спаммера"  +/
Сообщение от ksvserega (ok) on 05-Окт-07, 15:25 
>>вопрос: каким
>>образом на фре можно попытаться вычислить злодея, и как в дальнеёшем
>>оградить себя от подобного?
>
>1. ввести авторизацию на отправку, разрешить на фаервоел оптравлять почту только серверу.
>остальным отрубить.
>2. выяснить что за MTA, найти анализатор лога к нему, сгенерить отчет
>и посмотреть на лидера продаж

авторизацию ввести тяжело, т.к. 90% имеющих ящик бараны полные, и чет сложнее пароля 123 запомнить не в состоянии.
в фаерволе про запрет на отправку всем кроме сервера пробовал, но нормально чет не получилось, или все или никому. как правильно прописать?

что такое МТА?

а в трафшоу вообще нихрена не понял где там что и почем. был бы рядом чел знающий чтоб пальцем тыкал в строки и объяснял вкратце что они значат...
Ща просто времени вообще нету чтоб сесть плотно и расковырять эту фрю более-менее, всё как-то бегом и наскоками

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Поиск спаммера"  +/
Сообщение от greenwar (ok) on 05-Окт-07, 17:05 
>авторизацию ввести тяжело, т.к. 90% имеющих ящик бараны полные, и чет сложнее
>пароля 123 запомнить не в состоянии.

им пароли помнить не надо. у тебя должен быть файл со всеми паролями

> в фаерволе про запрет на отправку всем кроме сервера пробовал, но
>нормально чет не получилось, или все или никому. как правильно прописать?

ee /etc/rc.conf
ищешь строку firewall_script="имя_файла"
потом этот файл в студию
если такой строки нет, то /etc/rc.firewall в студию
вставляешь форматированную дискету
пишешь
mkdir /fdd
mount_msdosfs /dev/fd0 /fdd
cp /etc/rc.firewall /fdd
umount
и вынимаешь дискету

>что такое МТА?

тоже самое в гугле напиши

>а в трафшоу вообще нихрена не понял где там что и почем.
>был бы рядом чел знающий чтоб пальцем тыкал в строки и
>объяснял вкратце что они значат...

тоже самое ----------> GOOGLE.com
настройка trafd freebsd
хотя на из закладок: http://www.tmeter.ru/misc/trafd/ сам такой поставил, только без мускля

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Поиск спаммера"  +/
Сообщение от ksvserega (ok) on 05-Окт-07, 17:27 
#!/bin/sh
ipfw="/sbin/ipfw"


${ipfw} -f flush

blocklist1="192.168.11.33, 192.168.11.50, 192.168.11.51, 192.168.11.19, 192.168.11.89, 192.168.11.90, 192.168.11.28, 192.168.11.30, 192.168.11.2, 192.168.10.55, 192.168.10.110, 192.168.11.120"
blocklist2="192.168.11.64, 192.168.11.89, 192.168.11.29, 192.168.11.34"

#setup_loopback

case ${natd_enable} in
[Yy][Ee][Ss])
    if [ -n "${natd_interface}"]; then
        ${ipfw} add 50 divert natd all from any to any via ${natd_interface}
    fi
    ;;
esac        


${ipfw} add 20 divert 8672 ip from 192.168.11.0/24 to 57.5.64.251 via rl0
${ipfw} add 30 divert 8672 ip from 192.168.10.0/24 to 57.5.64.251 via rl0
${ipfw} add 21 divert 8672 ip from 192.168.11.0/24 to 57.5.64.250 via rl0
${ipfw} add 31 divert 8672 ip from 192.168.10.0/24 to 57.5.64.250 via rl0
${ipfw} add 40 divert 8672 ip from 57.5.64.251 to any via rl0
${ipfw} add 41 divert 8672 ip from 57.5.64.250 to any via rl0    
${ipfw} add 50 divert natd all from any to any via rl1
${ipfw} add 100 pass all from any to any via lo0
${ipfw} add 200 deny all from any to 127.0.0.0/8
${ipfw} add 300 deny ip from 127.0.0.0/8 to any
${ipfw} add pass all from any to any frag
${ipfw} add allow ip from any to 192.168.10.4
${ipfw} add allow ip from 192.168.10.4 to any


${ipfw} add pipe 1 tcp from any 3128 to 192.168.11.91, 192.168.11.10, 192.168.11.89, 192.168.11.9,192.168.10.114,192.168.11.12,192.168.11.64
${ipfw} pipe 1 config bw 128Kbit/s

${ipfw} add pipe 2 tcp from any 3128 to 192.168.11.67
${ipfw} pipe 2 config bw 8Kbit/s

${ipfw} add pipe 3 tcp from any 3128 to 192.168.11.29,192.168.11.150,192.168.11.33
${ipfw} pipe 3 config bw 24Kbit/s

${ipfw} add pipe 4 tcp from any 3128 to 192.168.11.50, 192.168.11.61, 192.168.11.51,192.168.11.19
${ipfw} pipe 4 config bw 36Kbit/s

${ipfw} add pipe 5 tcp from any 3128 to 192.168.10.115, 192.168.11.9,192.168.10.102,192.168.10.63
${ipfw} pipe 5 config bw 24Kbit/s

${ipfw} add pipe 6 tcp from any 3128 to 192.168.11.11,192.168.10.55,192.168.11.79,192.168.10.119,192.168.10.121,192.168.10.205
${ipfw} pipe 6 config bw 80Kbit/s

${ipfw} add pipe 7 tcp from any 3128 to 192.168.11.90,192.168.11.89, 192.168.11.28
${ipfw} pipe 7 config bw 80Kbit/s

${ipfw} add pipe 8 tcp from any 3128 to 192.168.11.30, 192.168.11.31, 192.168.11.32,192.168.11.90,192.168.10.48
${ipfw} pipe 8 config bw 80Kbit/s

${ipfw} add pipe 9 tcp from any 3128 to 192.168.10.110, 192.168.10.112, 192.168.11.2
${ipfw} pipe 9 config bw 38Kbit/s


${ipfw} add pipe 10 tcp from any 3128 to 192.168.11.120, 192.168.10.73
${ipfw} pipe 10 config bw 256Kbit/s
                                                                  

${ipfw} add deny all from any 80,8080,8101,20,21 to 192.168.10.0/24 via em0
${ipfw} add deny all from any 80,8080,8101,20,21 to 192.168.11.0/24 via fxp0

${ipfw} add pass all from 192.168.10.0/24 to 192.168.11.0/24
${ipfw} add pass all from 192.168.11.0/24 to 192.168.10.0/24
${ipfw} add pass all from 10.2.1.0/24 to 192.168.11.0/24
${ipfw} add pass all from 192.168.11.0/24 to 10.2.1.0/24

${ipfw} add pass all from 192.168.1.0/24 to 192.168.10.0/24
${ipfw} add pass all from 192.168.10.0/24 to 192.168.1.0/24


${ipfw} add deny tcp from 192.168.11.0/24 to any 4661,4662,4672,4665,4711,6881-6889,6881-6999
${ipfw} add deny all from 192.168.11.0/24 to 152.163.159.0/24, 152.163.208.0/24, 61.12.161.0/24
${ipfw} add deny tcp from 192.168.10.54 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.56 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.57 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.58 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.60 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.62 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.64 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.65 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.66 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.67 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.68 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.11.89 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.11.64 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.10.115 to any not 25,110,113,143,3128
${ipfw} add deny tcp from 192.168.10.119 to any not 25,110,113,143,3128

${ipfw} add deny tcp from ${blocklist2} to any
${ipfw} add deny tcp from ${blocklist1} to any
${ipfw} add deny tcp from 192.168.11.60, 192.168.11.61, 192.168.11.62 to any 3128
${ipfw} add deny tcp from 192.168.11.13 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.11.14 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.11.15 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.11.16 to any not 25,110,113,143
${ipfw} add deny tcp from 192.168.11.21 to any not 25,110,113,143
${ipfw} add deny ip from 192.168.11.72 to any 3128

${ipfw} add pass all from any to any
${ipfw} add deny log all from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Поиск спаммера"  +/
Сообщение от ksvserega (ok) on 05-Окт-07, 17:37 
em0 интерфейс 192.168.10.0 локалка 1
rl0 интерфейс 192.168.1.0 - сеть дружественной фирмы
fxp0 интерфейс 192.168.11.0 локалка 2
rl1 внешний интерфейс
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Поиск спаммера"  +/
Сообщение от vinzz on 05-Окт-07, 17:53 
Смотреть исходящий траффик на внешний 25ый порт.
посмотреть кто нужно на роутере запустить trafshow -n -p -i <внутренний интерфейс> dst port 25
а в дальнейшем - зарезать на роутере исходящие на 25ый или редиректить на свой смтп сервер и логить-фильтровать.

>[оверквотинг удален]
>Досталась сетка из примерно 200 машин + (почтовый, веб сервер, шлюз в
>нет)  на Фре 5.3 + сервер Вин2003. Во фре я
>слабоват, а с недавних пор внешний ИП попал сразу в несколько
>СпамБаз, что наводит на мысль о вирусе. На локальных машинах стоит
>клиент симантек антивирус, но похоже не на всех, сервер симантека на
>2003, который ниче подозрительного на вирус не сообщает. Обходить каждую машину
>в сети нет ни физической, ни главное временной возможности, т.к. отправка
>писем практически парализована, а начальство рвёт и мечет. Собственно вопрос: каким
>образом на фре можно попытаться вычислить злодея, и как в дальнеёшем
>оградить себя от подобного?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Поиск спаммера"  +/
Сообщение от ksvserega (ok) on 08-Окт-07, 11:59 
Всем спасибо, вычислил засранца. Теперь у него нет ни инета, ни почты, и долго еще не будет :-).
Подскажите, как в файрволе прописать правильно, чтоб с 25 портом наружу тока сам сервер работал, а для остальных закрыто было.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Поиск спаммера"  +/
Сообщение от straker (ok) on 17-Окт-07, 14:16 
>Всем спасибо, вычислил засранца. Теперь у него нет ни инета, ни почты,
>и долго еще не будет :-).
>Подскажите, как в файрволе прописать правильно, чтоб с 25 портом наружу тока
>сам сервер работал, а для остальных закрыто было.

Ну что-то типа этого

any_port="1024-65535"
local_net- ваша внутренняя сеть
$ipfw add allow tcp from any $any_port to me 25
$ipfw add allow tcp from me 25 to any $any_port
$ipfw add allow tcp from me $any_port to any 25
$ipfw add allow tcp from any 25 to me $any_port
$ipfw add allow tcp from $local_net $any_port to any 25
$ipfw add allow  tcp from any 25 to $local_net $any_port
$ipfw add drop all from any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Поиск спаммера"  +/
Сообщение от JackRip (??) on 17-Окт-07, 16:30 
А разве

>$ipfw add allow tcp from $local_net $any_port to any 25
>$ipfw add allow  tcp from any 25 to $local_net $any_port
>$ipfw add drop all from any to any

не пропускает все коннекты к 25 порты из локала куда угодно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Поиск спаммера"  +/
Сообщение от straker (ok) on 18-Окт-07, 08:06 
>А разве
>
>>$ipfw add allow tcp from $local_net $any_port to any 25
>>$ipfw add allow  tcp from any 25 to $local_net $any_port
>>$ipfw add drop all from any to any
>
>не пропускает все коннекты к 25 порты из локала куда угодно?

ну да
должно быть
$ipfw add allow tcp from $local_net $any_port to me 25
$ipfw add allow  tcp from me 25 to $local_net $any_port

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Поиск спаммера"  +/
Сообщение от JackRip (??) on 18-Окт-07, 14:50 
>ну да
>должно быть
>$ipfw add allow tcp from $local_net $any_port to me 25
>$ipfw add allow  tcp from me 25 to $local_net $any_port

Ага, а то я уж испугался :)
А как теперь открыть локалу, скажем http,ftp ?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Поиск спаммера"  +/
Сообщение от ksvserega (ok) on 19-Окт-07, 08:40 
Спасибо, ща файрвольчик подправим


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Поиск спаммера"  +/
Сообщение от nearbird on 17-Дек-09, 17:19 
>Смотреть исходящий траффик на внешний 25ый порт.
>посмотреть кто нужно на роутере запустить trafshow -n -p -i <внутренний интерфейс> dst port 25

респект!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру