Мой IP постоянно попадает в http://cbl.abuseat.org, William, 27-Фев-07, 09:22 [смотреть все]Уже и не знаю, что делать, постоянно попадаю в http://cbl.abuseat.org Стоит FreeBSD с NAT'ом. За ним сетка из 200-300 машин. В последнее время каждый день попадаю в список спамеров. Все адреса в подсети из пространства 192.168.0.0/16. Сделал заворот всего почтового трафика на свой серв: fwd MY_IP,25 tcp from 192.168.0.0/16 to not MY_IP dst-port 25 В итоге, если кто-то из внутренней подсети поймал вирус, рассылка с зараженной машины будет попадать в мой Sendmail. А самописный скрипт при активности более 50 писем за 15 минут закроет доступ для зараженной машины. Раньше все так и было. Но сейчас в логах все чисто, никакой спам-активности, а банят каждый день. Есть идеи куда копать ???? |
- Мой IP постоянно попадает в http://cbl.abuseat.org, shados, 10:11 , 27-Фев-07 (1)
А может твой сервер просто кто-то поимел и у тебя уже крутится открытая прокся в скрытых процессах?
- Мой IP постоянно попадает в http://cbl.abuseat.org, William, 11:01 , 27-Фев-07 (2)
>А может твой сервер просто кто-то поимел и у тебя уже крутится >открытая прокся в скрытых процессах? ps axu - вижу только мои процессы sockstat - опять же только то, что я знаю в кронтабе ничего подозрительного. ГЫ. А как скрытые процессы-то посмотреть ? 8-\
- Мой IP постоянно попадает в http://cbl.abuseat.org, Пользователь, 11:45 , 27-Фев-07 (3)
>>А может твой сервер просто кто-то поимел и у тебя уже крутится >>открытая прокся в скрытых процессах? > >ps axu - вижу только мои процессы >sockstat - опять же только то, что я знаю >в кронтабе ничего подозрительного. >ГЫ. А как скрытые процессы-то посмотреть ? 8-\ ps и sockstat и остальное запросто у тебя могут быть уже подменены. контрольный суммы системных файлов имеются? если нет, грузись с live cd и проверяй. можно снаружи посканить машинку, или послушать что на нее идет. вобщем если такая подозрительная частота попадания в блэклисты,то лучше априори считать что машинка взломана и не доверять. немного параноидального подхода никогда не помешает.
- Мой IP постоянно попадает в http://cbl.abuseat.org, William, 12:17 , 23-Мрт-07 (5)
Собрал из сырцов ps, sockstat, netstat. Сделал nmap этого сервака с соседней машины. Поиск никакого результата не принес. Написал мыло в cbl.abuseat.org. Вот кусок ответа:The IP (тут мой IP) was positively identified, most recently at: ... to be participating in a distributed denial-of-service (DDOS) attack on the cbl.abuseat.org web page Так что не за мыло меня банили. Похоже, просто кто-то из юзверей подхватил какого-то трояна и валил cbl.abuseat.org. Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org. Жду результат...
|