Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Problem ze spamerami :(
http://forum.freesco.pl/viewtopic.php?f=22&t=12763
Strona 1 z 1

Autor:  pape [ czwartek, 15 czerwca 2006, 15:56 ]
Tytuł:  Problem ze spamerami :(

Witam,
Jak w temacie, mam maly problem ze spamerami w sieci.
Zadzwoniono do mnie z TP, ze dostali zgloszenie ze z mojego IP wyszedl jakis pozadny spam. I co tu teraz z tym zrobic. W sieci mam 26 osob, trzeba poszpiegowac :P
Narazie czekam na odpowiedz od TP, jakieś konkrety bo nie wiem czego szukac. Ale z tego co ostatnio widze to popularny jest syf, ktory wysyla kosmiczna liczbe maili. Wywalalem to na kilku kompach w sieci, bo antyvirusy strasznie krzyczaly, ale tu gdzie nie ma antyvira, prawdopodobnie wszystko wychodzi.
Jesli teraz np dostane konkretne info ze wszystko dzialo sie na porcie 25, jak mam to przeszpiegowac, kto co i jak ? Pomyslalem o IPTRAF, tylko jak go ustawic na skanowanie ruchu na konkretnych portach ? Da sie ale jest cos napisane ze trzeba dac zakres powyzej 1024 bo te nizsze zarezerwowane na konkretne uslugi i sa juz sledzone, tylko dlaczemu nie wali mi tego w logi ?

Plis pomocy :)

Moze ktos ma jeszcze jakis ciekawy pomysl, co z tym fantem zrobic.

Autor:  Maciek [ czwartek, 15 czerwca 2006, 17:31 ]
Tytuł: 

Spotkałem się z takim zjawiskiem. Pomogło sprawdzanie połączeń za pomocą netstat-nat. Szybko okazało się, który komputer ma dużą ilość połączeń na porcie 25, od tego momentu klient ma zablokowany port 25 i pocztę to sobie przez www najwyżej może odebrać.

Autor:  pape [ czwartek, 15 czerwca 2006, 19:35 ]
Tytuł: 

No tak, tobie sie udalo. A ja musze miec logi, i jeszcze nie wiem czy to 25, tak podejrzewam, dlatego chce skanerek jakis przygotowac, zeby miec podkladke. Czytalem o tcpdump, moze to sproboje, chodzi mi tez o to zeby wszytko normalnie chodzilo bo np iptraf, to nie wiem czy da sie zeby w tle chodzil, bo normalnie jak wlaczony to zaraz powylaczeniu patrze load average 1.51 a to chyba nie jest ciekawa watrosc

Autor:  tasiorek [ czwartek, 15 czerwca 2006, 23:09 ]
Tytuł: 

http://forum.freesco.pl/viewtopic.php?t=6562

Autor:  Milosz_mily [ piątek, 23 czerwca 2006, 23:50 ]
Tytuł: 

Witam.

Też miałem fona z TP dzisiaj no i zaczołem męczyć temat.
Za pomocą tcpdump-a wydając polecenie:

tcpdump -i eth1 port 25

można podejrzeć na szybko który komp wysyła natrętnie pocztę (oczywiście gdzie też ale to mało istotne).
Obdzwoniłem klientów którzy mieli zainfekowane kompy ale to nie jest rozwiązanie.

Wymyśliłem, że można to na szybko zrobić tak:

- odpalić 2x httpd raz na 80 a raz na 81 porcie i na 81 umieścić stronkę z informacją o zainfekowniu kompa itd (zgdonie z opisem na NndWiki "blokowanie tych co nie płacą")

- kompy zidentyfikowane jako te z wirusami przekierować na tą stronkę (81) do czasu rozwiązanie problemu przez klienta.

jednak stwierdzam iż to nie jest rozwiązanie problemu takie jak mnie satysfakcjonuje. Znalazłem moduł ipt_recent który nakłada limity 60-cio sekundowe na wysyłanie emaila przez danego usera w sieci.

Tutaj dokładniej to jest opisane:

http://lemat.priv.pl/index.php?m=page&pg_id=78

Mam prośbę wielką, czy ktoś może to łopatologicznie wytłumaczyć jak to zaadoptować do nnd.

Z góry dzięki za pomoc, pewnie skorzysta z tego wielu.

Pozdrawiam:
Miłosz K.

Autor:  barbi [ czwartek, 8 lutego 2007, 02:57 ]
Tytuł:  Logowanie tcpdump z wysyłanej poczty

a ja sobie przygotowałem coś takiego

tcpdump -i eth1 tcp [13] == 2 and port 25

i toto pokazuje mi na bierząco wszystkie wysyłane listy, kto, gdzie i kiedy wysłał, bardzo przydatne do określenia kto wysyła spam.

Z wykorzystaniem tego

http://forum.freesco.pl/viewtopic.php?t ... sc&start=0

i linijki

tcpdump -i eth1 tcp [13] == 2 and port 25

mamy logi całej wysyłanej poczty.
Jak przyślą ci list, że ktoś wysyła spam z twojej sieci to z regoły przysyłają ten list ze spamem, a tam jest napisane dokładnie kiedy taki spam został wysłany.
Wystarczy wtedy przelądnąć te logi i mamy gościa jak na patelni.

Pozdrawiam

barbi

Autor:  viater [ czwartek, 8 lutego 2007, 11:30 ]
Tytuł: 

http://forum.freesco.pl/viewtopic.php?t=13373&highlight=check25
check25 - u mnie sprawdza się doskonale. Wrzuciłem go do crona co 5 minut. Sprawdza, czy któryś z klientów nie ma nawiązanych za dużo połączeń na port 25 - jeśli tak, to blokuje mu ten port.

Autor:  lucyferus23 [ czwartek, 8 lutego 2007, 13:34 ]
Tytuł: 

pape pisze:
No tak, tobie sie udalo. A ja musze miec logi, i jeszcze nie wiem czy to 25, tak podejrzewam, dlatego chce skanerek jakis przygotowac, zeby miec podkladke. Czytalem o tcpdump, moze to sproboje, chodzi mi tez o to zeby wszytko normalnie chodzilo bo np iptraf, to nie wiem czy da sie zeby w tle chodzil, bo normalnie jak wlaczony to zaraz powylaczeniu patrze load average 1.51 a to chyba nie jest ciekawa watrosc



Polecam ten temat http://forum.freesco.pl/viewtopic.php?t=14535

Fajny skrypcik pokazujacy na stronie www za pomoca netstat-nat'a jakie i ile i na jakich portach dane ip nawiazalo polaczenie.

Na samym dole jest to przerobione na tabele ale tam juz niema na jakim porcie jest to polaczenie.

Polecam przejrzyj moze cos pomoze

Autor:  p3ncil [ wtorek, 13 lipca 2010, 22:42 ]
Tytuł: 

viater, a ten Twój skrypcik potrafi też odblokować klienta jak mu liczba połączeń na port 25 spadnie ponizej 3?
Czy trzeba ręcznie wklepać odblokowanie portu?

Autor:  viater [ wtorek, 13 lipca 2010, 23:38 ]
Tytuł: 

Trzeba ręcznie: z katalogu /var/lib/check25 usunąć plik o nazwie takiej samej jak IP klienta i zrestartować iptables.

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/