> После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за
> отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания
> спама у меня в сети активизируется сильно завирусованый юзер. А именно
> я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует
> около 1500 запросов за 5 мин, а он сам до 8000).
> И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту
> со спамом результата не принесло. Очень похоже это тем что пролазит
> очень немного писем, буквально 2-3. Но даже их хватает чтобы мой
> хост заблеклистили..

Кстати это мысль. Зная то,что выход через 53 порт скорее всего не закрыт,злоумышленник мог воспользоваться этим.
Читал даже статью как кто-то таким образом устанавливал соединения с домашним впн-сервером из wi-fi сетки макдональдса например,а потом уже выходя через свой сервак, обходил ограничения макдональдс.
Так что это вполне здравая мысль. Советую послушать tcpdump -ом. Чтобы не вглядываться в консоль,вывод можно сделать в файл,а потом уже его отгрепать по времени например.