| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Spamerzy http://forum.freesco.pl/viewtopic.php?f=35&t=66 |
Strona 1 z 1 |
| Autor: | Anonymous [ piątek, 19 lipca 2002, 21:23 ] |
| Tytuł: | Spamerzy |
Luknijcie sobie w ramach ciekawostki na następujący log: http://test1.milen.pl/log1.exe (to jest log spakowany winrarem, gwarantuję że nie ma wirusa). Wystarczy na jeden dzionek zostawić otwarte Relayowanie poczty i już się spamerzy przysysają. 
Widać w tym logu wyraźnie jak jakiś szmaciarz puszczał maile przez mój serwer przez coś koło dwóch godzin (widać też w końcu logu jak go załatwiłem, a on ciągle się jeszcze stara). |
|
| Autor: | lamer [ sobota, 20 lipca 2002, 09:00 ] |
| Tytuł: | |
Czyli podobnie jak u mnie (kilka postów niżej). Dopisałem jego IP do Black List (Communi Gate Pro), więc nic nie może już zrobić, ale cały czas zaśmiecał logi. W końcu musiałem go zablokować na firewall'u bo logi miały po kilkaset kilo! |
|
| Autor: | Anonymous [ niedziela, 21 lipca 2002, 12:46 ] |
| Tytuł: | A co ja mam z nimi zrobić? |
Nie wiem w końcu czy czasami mój serwer nie trafił na jakąś listę dla spamerów.Cholera zaczęło się dzisiaj 4 minuty po północy, i od tamtej pory chcieli przesłać przez serwer kilkaset maili (lub nawet kilka tysięcy, nie chce mi się liczyć). W logu mam za dużo IP żeby się bawić w jakiekolwiek blokowanie. Póki co zatrzymałem serwer poczty, w sumie i tak nie jest mi za bardzo potrzebny - założyłem sobie jedno konto do którego mam dostęp po sieci lokalnej, dzięki czemu poczta się szybko odbiera. Tych spamerów nie obchodzi jakoś to, że każdy z nich dostaje komunikat błędu "Relay Not Allowed", walą mimo to cały czas. Na razie jedyną akcją jaką podjąłem jest zbieranie logów, nie wiem co z nimi zrobię ale być może postawię witrynkę i powystawiam na niej adresy IP tych spamerów, po czym każdemu z nich wyślę maila żeby sobie na nią zajrzał. Może to zniechęci co poniektórych (z logów wynika że jest ich kilkudziesięciu, chyba że potrafią zafałszować swoje IP). |
|
| Autor: | lamer [ poniedziałek, 22 lipca 2002, 16:19 ] |
| Tytuł: | |
Żeby tak można było coś do nich wysłać! U mnie adresy nadawcy są fikcyjne... Jeszcze ciekawostka z logów - nie wiem, czy to sposób na niektóre serwery pocztowe? 16:09:54.37 5 SMTPI-00742([63.233.148.139]) inp: MAIL FROM:<stylist73@earthlink.net> 16:10:24.85 5 SMTPI-00742([63.233.148.139]) out: 250 stylist73@earthlink.net sender accepted\r\n 16:10:25.68 5 SMTPI-00742([63.233.148.139]) inp: RCPT TO:<724=217.98.203.86=63.233.148.139=@[63.233.148.139]> 16:10:25.68 1 SMTPI-00742([63.233.148.139]) Recipient 724=217.98.203.86=63.233.148.139=@[63.233.148.139] rejected: prohibited. We do not relay 16:10:25.68 5 SMTPI-00742([63.233.148.139]) out: 571 724=217.98.203.86=63.233.148.139=@[63.233.148.139] prohibited. We do not relay\r\n 16:10:29.88 3 SMTPI-00742([63.233.148.139]) read failed. Error Code=connection closed by peer 16:10:29.88 4 SMTPI-00742([63.233.148.139]) aborting connection Chodzi o tą linię inp: RCPT |
|
| Autor: | Anonymous [ poniedziałek, 22 lipca 2002, 19:12 ] |
| Tytuł: | A kto mówi o odsyłaniu czegoś do spamerów... |
A kto mówi o odsyłaniu czegoś do spamerów... Wysyłałem maile do adminów serwerów z których te szity do mnie przylazły. W nslookup sprawdzam sobie ip nadawcy, i zwykle znajduję chociażby DNS w którym ten IP ma jakiś wpis. To już zawsze jakiś punkt zaczepienia, można skontaktować się np. z adminem DNSa. |
|
| Autor: | lamer [ poniedziałek, 29 lipca 2002, 16:46 ] |
| Tytuł: | |
Ciekawa sprawa! Jak poblokowałem na firewallu najbardziej aktywnych spamerów (stałe IP) to po kilku dniach dali sobie spokój (dałem zapisywanie prób w logach - teraz jest czysto). Wygląda na to, że jak znajdą dziurawy serwer poczty, to dają sobie o tym znać, ale jak dziury są już załatane, to sobie odpuszczają! |
|
| Autor: | Anonymous [ poniedziałek, 29 lipca 2002, 19:30 ] |
| Tytuł: | Masz rację |
Na 100% tak właśnie jest. Ja wyłączyłem serwer poczty na parę dni, po ponownym włączeniu było przez dwa dni wszystko ok trzeciego znowu fala spamu, ale gdzieś 10 razy mniejsza niż wcześniej. Akurat był to jeden gostek, zgłosiłem do abuse i od tamtej pory cisza. Pewnie te śmieciarze mają gdzieś jakieś listy dyskusyjne albo coś, gdzie wymieniają się adresami dziurawych MXów. Od tej pory nigdy nie włączę relayowania, przynajmniej nie na tej wersji eXtremaila. Nowsza 1.5.4.r1 ma funkcję SMTP Authorize i POP before SMTP, więc można pozwolić na relayowanie znanym użytkownikom. Ja jestem od tej pory bezlitosny dla spamerów. Każdy podejrzany IP notuję w specjalnym zeszycie, trzykrotne wystąpienie i wysyłam maila do abuse albo admina odpowiedniego serwera. Na pewno gdyby każdy tak robił to te śmieciarze mieliby utrudnione życie. Założę się że gdy kilka osób zgłosi jednego gostka gdzie trzeba to wtedy takiemu śmieciarzowi założą jakieś konsekwencje. |
|
| Autor: | lamer [ wtorek, 30 lipca 2002, 10:12 ] |
| Tytuł: | |
"alienvp" napisał do mnie wiadomość: Cytuj: witam. mam pytanie. z twojej wypowiedzi z postu wynika ze wlaczyles funkcje zapisywania w logu prob logowania. jak to trzeba zrobic?? i co zrobic zeby po restarcie serwera nie znikaly zapisy w logach. freesco mam na hdd 80 Mb bez dodatkow. tylko prosze o w miare szczegolowa odpowiedz poniewaz jestem bardzo cienki w sprawach programowania. jezeli bede mial jakies pytania to bede meczyl jezeli mozna. zeby nie obciazac forum to prosze o odpowiedz na emila alienvp@hot.pl z gory dzieki
Ponieważ temat może zainteresować jeszcze kogoś odpisuję na forum. Jeżeli chodzi o zapis w logach - blokując konkretne IP komendą ipfwadm -I -i deny -S adres_IP trzeba dodać opcję -o która spowoduje, że każda próba połączenia z tego IP z twoim serwerem zostawi ślad w logach. Co do "znikających" logów po restarcie - logi tworzone są w RAM-ie, dlatego kasuja się po restarcie. Można je skopiować na HDD - przy zamknięciu freesco wykonywane jest rc-user - sekcja z komendą echo -n "Stopping rc_user...". Jeżeli stworzymy sobie katalog, np: /mnt/router/logi i w sekcji o której mówiłem dodamy cp /var/log/log /mnt/router/logi/log to po restarcie możemy odczytać stary log. Można też wpisać to w ATD i robić to np co godzinę - wtedy nawet wyłączenie prądu będzie niestraszne. |
|
| Autor: | zciech [ wtorek, 30 lipca 2002, 12:50 ] |
| Tytuł: | |
Cytuj: Co do "znikających" logów po restarcie - logi tworzone są w RAM-ie, dlatego kasuja się po restarcie. Można je skopiować na HDD - przy zamknięciu freesco wykonywane jest rc-user - sekcja z komendą echo -n "Stopping rc_user...". Jeżeli stworzymy sobie katalog,
Jest łatwiejszy sposob: 1 w setupie ustawiasz odpowiedni maksymalny rozmiar logu na np. 32MB 2 w katalogu /mnt tworzysz katalog /log 3 w pliku /mnt/etc/syslog.conf znieniasz: auth.* /dev/tty4 auth.* /mnt/log/login *.* /dev/tty3 *.* /mnt/log/log # log bedzie zapisywany w pliku log w katalogu mnt czyli na dysku. 
|
|
| Autor: | lamer [ wtorek, 30 lipca 2002, 13:27 ] |
| Tytuł: | |
Faktycznie - to załatwienie sprawy "od podstaw". Ale czy będzie wtedy działał panel admina (wyświetlanie logów)? |
|
| Autor: | zciech [ wtorek, 30 lipca 2002, 17:07 ] |
| Tytuł: | |
Nie, musisz zmienic w /wwa/cgi/usr.cg wpisy /var/log na /mnt/log: log*) ttl; cat /mnt/log/$QUERY_STRING.1 2>/dev/null echo cat /mnt/log/$QUERY_STRING 2>/dev/null | sed "s/</\<\;/g;s/>/\>\;/g" echo end;; Mniej wiecej 
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|