OpenForum RSS: Поиск спаммера https://www.opennet.ru/openforum/vsluhforumID10/3485.html Досталась сетка из примерно 200 машин + (почтовый, веб сервер, шлюз в нет) на Фре 5.3 + сервер Вин2003. Во фре я слабоват, а с недавних пор внешний ИП попал сразу в несколько СпамБаз, что наводит на мысль о вирусе. На локальных машинах стоит клиент симантек антивирус, но похоже не на всех, сервер симантека на 2003, который ниче подозрительного на вирус не сообщает. Обходить каждую машину в сети нет ни физической, ни главное временной возможности, т.к. отправка писем практически парализована, а начальство рвёт и мечет. Собственно вопрос: каким образом на фре можно попытаться вычислить злодея, и как в дальнеёшем оградить себя от подобного?<br> Поиск спаммера (nearbird) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#14 Thu, 17 Dec 2009 14:19:15 GMT &gt;Смотреть исходящий траффик на внешний 25ый порт. <br>&gt;посмотреть кто нужно на роутере запустить trafshow -n -p -i &lt;внутренний интерфейс&gt; dst port 25<br><br>респект!<br><br><br> Поиск спаммера (ksvserega) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#13 Fri, 19 Oct 2007 04:40:33 GMT Спасибо, ща файрвольчик подправим<br><br><br> Поиск спаммера (JackRip) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#12 Thu, 18 Oct 2007 10:50:39 GMT &gt;ну да <br>&gt;должно быть <br>&gt;$ipfw add allow tcp from $local_net $any_port to me 25 <br>&gt;$ipfw add allow tcp from me 25 to $local_net $any_port <br><br>Ага, а то я уж испугался :)<br>А как теперь открыть локалу, скажем http,ftp ?<br><br><br> Поиск спаммера (straker) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#11 Thu, 18 Oct 2007 04:06:41 GMT &gt;А разве <br>&gt;<br>&gt;&gt;$ipfw add allow tcp from $local_net $any_port to any 25 <br>&gt;&gt;$ipfw add allow tcp from any 25 to $local_net $any_port <br>&gt;&gt;$ipfw add drop all from any to any <br>&gt;<br>&gt;не пропускает все коннекты к 25 порты из локала куда угодно? <br><br>ну да<br>должно быть<br>$ipfw add allow tcp from $local_net $any_port to me 25 <br>$ipfw add allow tcp from me 25 to $local_net $any_port <br><br> Поиск спаммера (JackRip) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#10 Wed, 17 Oct 2007 12:30:31 GMT А разве <br><br>&gt;$ipfw add allow tcp from $local_net $any_port to any 25 <br>&gt;$ipfw add allow tcp from any 25 to $local_net $any_port <br>&gt;$ipfw add drop all from any to any <br><br>не пропускает все коннекты к 25 порты из локала куда угодно?<br> Поиск спаммера (straker) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#9 Wed, 17 Oct 2007 10:16:27 GMT &gt;Всем спасибо, вычислил засранца. Теперь у него нет ни инета, ни почты, <br>&gt;и долго еще не будет :-). <br>&gt;Подскажите, как в файрволе прописать правильно, чтоб с 25 портом наружу тока <br>&gt;сам сервер работал, а для остальных закрыто было. <br><br>Ну что-то типа этого<br><br>any_port="1024-65535"<br>local_net- ваша внутренняя сеть <br>$ipfw add allow tcp from any $any_port to me 25<br>$ipfw add allow tcp from me 25 to any $any_port<br>$ipfw add allow tcp from me $any_port to any 25<br>$ipfw add allow tcp from any 25 to me $any_port<br>$ipfw add allow tcp from $local_net $any_port to any 25<br>$ipfw add allow tcp from any 25 to $local_net $any_port<br>$ipfw add drop all from any to any<br> Поиск спаммера (ksvserega) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#8 Mon, 08 Oct 2007 07:59:37 GMT Всем спасибо, вычислил засранца. Теперь у него нет ни инета, ни почты, и долго еще не будет :-).<br>Подскажите, как в файрволе прописать правильно, чтоб с 25 портом наружу тока сам сервер работал, а для остальных закрыто было.<br><br><br> Поиск спаммера (vinzz) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#7 Fri, 05 Oct 2007 13:53:44 GMT Смотреть исходящий траффик на внешний 25ый порт.<br>посмотреть кто нужно на роутере запустить trafshow -n -p -i &lt;внутренний интерфейс&gt; dst port 25<br>а в дальнейшем - зарезать на роутере исходящие на 25ый или редиректить на свой смтп сервер и логить-фильтровать.<br><br>&gt;[оверквотинг удален]<br>&gt;Досталась сетка из примерно 200 машин + (почтовый, веб сервер, шлюз в <br>&gt;нет) на Фре 5.3 + сервер Вин2003. Во фре я <br>&gt;слабоват, а с недавних пор внешний ИП попал сразу в несколько <br>&gt;СпамБаз, что наводит на мысль о вирусе. На локальных машинах стоит <br>&gt;клиент симантек антивирус, но похоже не на всех, сервер симантека на <br>&gt;2003, который ниче подозрительного на вирус не сообщает. Обходить каждую машину <br>&gt;в сети нет ни физической, ни главное временной возможности, т.к. отправка <br>&gt;писем практически парализована, а начальство рвёт и мечет. Собственно вопрос: каким <br>&gt;образом на фре можно попытаться вычислить злодея, и как в дальнеёшем <br>&gt;оградить себя от подобного? <br><br> Поиск спаммера (ksvserega) https://www.opennet.ru/openforum/vsluhforumID10/3485.html#6 Fri, 05 Oct 2007 13:37:30 GMT em0 интерфейс 192.168.10.0 локалка 1<br>rl0 интерфейс 192.168.1.0 - сеть дружественной фирмы<br>fxp0 интерфейс 192.168.11.0 локалка 2<br>rl1 внешний интерфейс<br>