- Хитрый спам и Postfix, mef, 11:01 , 31-Авг-10 (1)
- Хитрый спам и Postfix, Aivanzipper, 17:06 , 31-Авг-10 (7)
- Хитрый спам и Postfix, Aivanzipper, 18:51 , 31-Авг-10 (10)
- Хитрый спам и Postfix, Aivanzipper, 23:05 , 05-Окт-10 (11)
- Хитрый спам и Postfix, vitek16, 15:11 , 07-Окт-10 (12)
> После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за > отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания > спама у меня в сети активизируется сильно завирусованый юзер. А именно > я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует > около 1500 запросов за 5 мин, а он сам до 8000). > И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту > со спамом результата не принесло. Очень похоже это тем что пролазит > очень немного писем, буквально 2-3. Но даже их хватает чтобы мой > хост заблеклистили..Кстати это мысль. Зная то,что выход через 53 порт скорее всего не закрыт,злоумышленник мог воспользоваться этим. Читал даже статью как кто-то таким образом устанавливал соединения с домашним впн-сервером из wi-fi сетки макдональдса например,а потом уже выходя через свой сервак, обходил ограничения макдональдс. Так что это вполне здравая мысль. Советую послушать tcpdump -ом. Чтобы не вглядываться в консоль,вывод можно сделать в файл,а потом уже его отгрепать по времени например.
|