Witam.
Też miałem fona z TP dzisiaj no i zaczołem męczyć temat.
Za pomocą tcpdump-a wydając polecenie:
tcpdump -i eth1 port 25
można podejrzeć na szybko który komp wysyła natrętnie pocztę (oczywiście gdzie też ale to mało istotne).
Obdzwoniłem klientów którzy mieli zainfekowane kompy ale to nie jest rozwiązanie.
Wymyśliłem, że można to na szybko zrobić tak:
- odpalić 2x httpd raz na 80 a raz na 81 porcie i na 81 umieścić stronkę z informacją o zainfekowniu kompa itd (zgdonie z opisem na NndWiki "blokowanie tych co nie płacą")
- kompy zidentyfikowane jako te z wirusami przekierować na tą stronkę (81) do czasu rozwiązanie problemu przez klienta.
jednak stwierdzam iż to nie jest rozwiązanie problemu takie jak mnie satysfakcjonuje. Znalazłem moduł ipt_recent który nakłada limity 60-cio sekundowe na wysyłanie emaila przez danego usera w sieci.
Tutaj dokładniej to jest opisane:
http://lemat.priv.pl/index.php?m=page&pg_id=78
Mam prośbę wielką, czy ktoś może to łopatologicznie wytłumaczyć jak to zaadoptować do nnd.
Z góry dzięki za pomoc, pewnie skorzysta z tego wielu.
Pozdrawiam:
Miłosz K.