The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как следить за отправкой почты из локалки"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как следить за отправкой почты из локалки"  
Сообщение от marvin on 31-Окт-07, 10:35 
Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому возник вопрос - как следить за тем, какая машина из локалки заражена и начинает рассылать спам.
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как следить за отправкой почты из локалки"  
Сообщение от AlexF (??) on 31-Окт-07, 12:55 
на шлюзе - trafd, ngrep, tcpdump?

>Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому
>возник вопрос - как следить за тем, какая машина из локалки
>заражена и начинает рассылать спам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как следить за отправкой почты из локалки"  
Сообщение от ShyLion (ok) on 31-Окт-07, 13:15 
>на шлюзе - trafd, ngrep, tcpdump?
>
>>Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому
>>возник вопрос - как следить за тем, какая машина из локалки
>>заражена и начинает рассылать спам.

tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn) !=0 and not dst net локальная/сетка

man tcpdump

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как следить за отправкой почты из локалки"  
Сообщение от ShyLion (ok) on 31-Окт-07, 13:17 
>tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn)

tcpdump

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как следить за отправкой почты из локалки"  
Сообщение от marvin on 31-Окт-07, 16:36 
ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю на этот счет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как следить за отправкой почты из локалки"  
Сообщение от konst email(ok) on 31-Окт-07, 19:14 
>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>на этот счет.

Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Как следить за отправкой почты из локалки"  
Сообщение от marvin on 01-Ноя-07, 10:09 
>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>>на этот счет.
>
>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление

а поделиться можешь? :) mi6@bk.ru


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Как следить за отправкой почты из локалки"  
Сообщение от konst email(??) on 01-Ноя-07, 23:01 
>>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>>>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>>>на этот счет.
>>
>>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление
>
>а поделиться можешь? :) mi6@bk.ru

Был бы рад. Да там такая жуткая  аналитическая система ужо построена, что левый чел. просто не разберется... Основную идею я уже сказал, далее  - дело за Вами... Вот кусок кода из perl-скрипта:
анализирует /var/log/maillog. Учитывает размер посланного...

while(<>) {
    if (/^([A-Za-zЮ-Ъю-ъ]+) +([0-9]+).+sendmail.[0-9]+.: +([^ ]+): +from=<?([^,>@]+\@[^, ]+).+ size=([0-9]+).+\ relay=.*\[(192.168.[0-9.]+)\]/) {
        $m = $1;
        $d = $2;
        $date = $m."_".sprintf("%02d",$d);
        unless ($m{$m})  { print color ("blue")," $m: ",color("yellow"); }
        unless ($d{$date}) { print "$d.."; ++$sort; }
        unless ($sort{$date}) {$sort{$date}=$sort}

        $m{$m} = 1;
        $d{$date} = 1;
#       $id=$3;                                                                                              
        $from = $4;
        $size = $5;
        $ip = $6;
....
# для некоторых IP не делаем проверок:
        if ($ip =~ /192.168.0.2(22|00|08)/) { next }
###########

        ++$count_all{$date}{$ip};
        $size_all{$date}{$ip} += $size;

        ++$count_ip{$ip};
        $size_ip{$ip} += $size;

        ++$count_d{$date};
        $size_d{$date} += $size;
    }
}

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как следить за отправкой почты из локалки"  
Сообщение от ShyLion (ok) on 01-Ноя-07, 07:40 
>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то
>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю
>на этот счет.

запускай в бакграунде с логом в файл, по крону файл анализируй
или с логом в трубу, из трубы читай скриптом и оповещайся как хочешь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру