Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 10:39

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 10 ] 
Autor Wiadomość
Post: czwartek, 15 czerwca 2006, 15:56 
Offline
Użytkownik

Rejestracja: niedziela, 19 czerwca 2005, 17:55
Posty: 167
Witam,
Jak w temacie, mam maly problem ze spamerami w sieci.
Zadzwoniono do mnie z TP, ze dostali zgloszenie ze z mojego IP wyszedl jakis pozadny spam. I co tu teraz z tym zrobic. W sieci mam 26 osob, trzeba poszpiegowac :P
Narazie czekam na odpowiedz od TP, jakieś konkrety bo nie wiem czego szukac. Ale z tego co ostatnio widze to popularny jest syf, ktory wysyla kosmiczna liczbe maili. Wywalalem to na kilku kompach w sieci, bo antyvirusy strasznie krzyczaly, ale tu gdzie nie ma antyvira, prawdopodobnie wszystko wychodzi.
Jesli teraz np dostane konkretne info ze wszystko dzialo sie na porcie 25, jak mam to przeszpiegowac, kto co i jak ? Pomyslalem o IPTRAF, tylko jak go ustawic na skanowanie ruchu na konkretnych portach ? Da sie ale jest cos napisane ze trzeba dac zakres powyzej 1024 bo te nizsze zarezerwowane na konkretne uslugi i sa juz sledzone, tylko dlaczemu nie wali mi tego w logi ?

Plis pomocy :)

Moze ktos ma jeszcze jakis ciekawy pomysl, co z tym fantem zrobic.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 15 czerwca 2006, 17:31 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Spotkałem się z takim zjawiskiem. Pomogło sprawdzanie połączeń za pomocą netstat-nat. Szybko okazało się, który komputer ma dużą ilość połączeń na porcie 25, od tego momentu klient ma zablokowany port 25 i pocztę to sobie przez www najwyżej może odebrać.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 15 czerwca 2006, 19:35 
Offline
Użytkownik

Rejestracja: niedziela, 19 czerwca 2005, 17:55
Posty: 167
No tak, tobie sie udalo. A ja musze miec logi, i jeszcze nie wiem czy to 25, tak podejrzewam, dlatego chce skanerek jakis przygotowac, zeby miec podkladke. Czytalem o tcpdump, moze to sproboje, chodzi mi tez o to zeby wszytko normalnie chodzilo bo np iptraf, to nie wiem czy da sie zeby w tle chodzil, bo normalnie jak wlaczony to zaraz powylaczeniu patrze load average 1.51 a to chyba nie jest ciekawa watrosc


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 15 czerwca 2006, 23:09 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
http://forum.freesco.pl/viewtopic.php?t=6562

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 23 czerwca 2006, 23:50 
Offline

Rejestracja: niedziela, 3 lipca 2005, 17:01
Posty: 37
Lokalizacja: Knurów
Witam.

Też miałem fona z TP dzisiaj no i zaczołem męczyć temat.
Za pomocą tcpdump-a wydając polecenie:

tcpdump -i eth1 port 25

można podejrzeć na szybko który komp wysyła natrętnie pocztę (oczywiście gdzie też ale to mało istotne).
Obdzwoniłem klientów którzy mieli zainfekowane kompy ale to nie jest rozwiązanie.

Wymyśliłem, że można to na szybko zrobić tak:

- odpalić 2x httpd raz na 80 a raz na 81 porcie i na 81 umieścić stronkę z informacją o zainfekowniu kompa itd (zgdonie z opisem na NndWiki "blokowanie tych co nie płacą")

- kompy zidentyfikowane jako te z wirusami przekierować na tą stronkę (81) do czasu rozwiązanie problemu przez klienta.

jednak stwierdzam iż to nie jest rozwiązanie problemu takie jak mnie satysfakcjonuje. Znalazłem moduł ipt_recent który nakłada limity 60-cio sekundowe na wysyłanie emaila przez danego usera w sieci.

Tutaj dokładniej to jest opisane:

http://lemat.priv.pl/index.php?m=page&pg_id=78

Mam prośbę wielką, czy ktoś może to łopatologicznie wytłumaczyć jak to zaadoptować do nnd.

Z góry dzięki za pomoc, pewnie skorzysta z tego wielu.

Pozdrawiam:
Miłosz K.


Na górę
 Wyświetl profil  
 
Post: czwartek, 8 lutego 2007, 02:57 
Offline

Rejestracja: poniedziałek, 15 września 2003, 18:47
Posty: 14
a ja sobie przygotowałem coś takiego

tcpdump -i eth1 tcp [13] == 2 and port 25

i toto pokazuje mi na bierząco wszystkie wysyłane listy, kto, gdzie i kiedy wysłał, bardzo przydatne do określenia kto wysyła spam.

Z wykorzystaniem tego

http://forum.freesco.pl/viewtopic.php?t ... sc&start=0

i linijki

tcpdump -i eth1 tcp [13] == 2 and port 25

mamy logi całej wysyłanej poczty.
Jak przyślą ci list, że ktoś wysyła spam z twojej sieci to z regoły przysyłają ten list ze spamem, a tam jest napisane dokładnie kiedy taki spam został wysłany.
Wystarczy wtedy przelądnąć te logi i mamy gościa jak na patelni.

Pozdrawiam

barbi


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 8 lutego 2007, 11:30 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
http://forum.freesco.pl/viewtopic.php?t=13373&highlight=check25
check25 - u mnie sprawdza się doskonale. Wrzuciłem go do crona co 5 minut. Sprawdza, czy któryś z klientów nie ma nawiązanych za dużo połączeń na port 25 - jeśli tak, to blokuje mu ten port.

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 8 lutego 2007, 13:34 
Offline
Użytkownik

Rejestracja: niedziela, 26 lutego 2006, 15:24
Posty: 105
pape pisze:
No tak, tobie sie udalo. A ja musze miec logi, i jeszcze nie wiem czy to 25, tak podejrzewam, dlatego chce skanerek jakis przygotowac, zeby miec podkladke. Czytalem o tcpdump, moze to sproboje, chodzi mi tez o to zeby wszytko normalnie chodzilo bo np iptraf, to nie wiem czy da sie zeby w tle chodzil, bo normalnie jak wlaczony to zaraz powylaczeniu patrze load average 1.51 a to chyba nie jest ciekawa watrosc



Polecam ten temat http://forum.freesco.pl/viewtopic.php?t=14535

Fajny skrypcik pokazujacy na stronie www za pomoca netstat-nat'a jakie i ile i na jakich portach dane ip nawiazalo polaczenie.

Na samym dole jest to przerobione na tabele ale tam juz niema na jakim porcie jest to polaczenie.

Polecam przejrzyj moze cos pomoze

_________________
Pentium II 350MHz/512KB IDE 4,0GB 128MB/100MHz 20 urzyszkodników DSL2000/256


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 13 lipca 2010, 22:42 
Offline

Rejestracja: piątek, 26 sierpnia 2005, 21:10
Posty: 58
Lokalizacja: Rzeszów
viater, a ten Twój skrypcik potrafi też odblokować klienta jak mu liczba połączeń na port 25 spadnie ponizej 3?
Czy trzeba ręcznie wklepać odblokowanie portu?

_________________
... wybaczcie - dopiero się uczę ...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 13 lipca 2010, 23:38 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
Trzeba ręcznie: z katalogu /var/lib/check25 usunąć plik o nazwie takiej samej jak IP klienta i zrestartować iptables.

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 10 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 26 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl