 Мой IP постоянно попадает в http://cbl.abuseat.org,  William, 27-Фев-07, 09:22 [смотреть все]Уже и не знаю, что делать, постоянно попадаю в http://cbl.abuseat.org
Стоит FreeBSD с NAT'ом. За ним сетка из 200-300 машин. В последнее время каждый день попадаю в список спамеров. Все адреса в подсети из пространства 192.168.0.0/16. Сделал заворот всего почтового трафика на свой серв:
fwd MY_IP,25 tcp from 192.168.0.0/16 to not MY_IP dst-port 25
В итоге, если кто-то из внутренней подсети поймал вирус, рассылка с зараженной машины будет попадать в мой Sendmail. А самописный скрипт при активности более 50 писем за 15 минут закроет доступ для зараженной машины.
Раньше все так и было. Но сейчас в логах все чисто, никакой спам-активности, а банят каждый день. Есть идеи куда копать ???? |
- Мой IP постоянно попадает в http://cbl.abuseat.org, shados, 10:11 , 27-Фев-07 (1)
А может твой сервер просто кто-то поимел и у тебя уже крутится открытая прокся в скрытых процессах?
- Мой IP постоянно попадает в http://cbl.abuseat.org, William, 11:01 , 27-Фев-07 (2)
>А может твой сервер просто кто-то поимел и у тебя уже крутится
>открытая прокся в скрытых процессах? ps axu - вижу только мои процессы
sockstat - опять же только то, что я знаю
в кронтабе ничего подозрительного.
ГЫ. А как скрытые процессы-то посмотреть ? 8-\
- Мой IP постоянно попадает в http://cbl.abuseat.org, Пользователь, 11:45 , 27-Фев-07 (3)
>>А может твой сервер просто кто-то поимел и у тебя уже крутится
>>открытая прокся в скрытых процессах?
>
>ps axu - вижу только мои процессы
>sockstat - опять же только то, что я знаю
>в кронтабе ничего подозрительного.
>ГЫ. А как скрытые процессы-то посмотреть ? 8-\
ps и sockstat и остальное запросто у тебя могут быть уже подменены.
контрольный суммы системных файлов имеются? если нет, грузись с live cd и проверяй.
можно снаружи посканить машинку, или послушать что на нее идет. вобщем если такая подозрительная частота попадания в блэклисты,то лучше априори считать что машинка взломана и не доверять. немного параноидального подхода никогда не помешает.
- Мой IP постоянно попадает в http://cbl.abuseat.org, William, 12:17 , 23-Мрт-07 (5)
Собрал из сырцов ps, sockstat, netstat.
Сделал nmap этого сервака с соседней машины.
Поиск никакого результата не принес.
Написал мыло в cbl.abuseat.org.
Вот кусок ответа:The IP (тут мой IP) was positively identified, most recently at:
...
to be participating in a distributed denial-of-service (DDOS) attack on
the cbl.abuseat.org web page Так что не за мыло меня банили. Похоже, просто кто-то из юзверей подхватил какого-то трояна и валил cbl.abuseat.org.
Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org.
Жду результат...
|
Версия для распечатки
