форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Гон провайдера?"

Сообщение от Hardman on 16-Янв-07, 12:21

Здравствуйте! Оч прошу помочь в следующем вопросе: Провайдер бычит шо от меня спам валит (несколько тыщ писем в день), я в файерволе(Kerio WinRout) не наблюдаю никакой SMTP активности! поставил снивак - тож самое. Ответе может-ли такое быть, и как с етим бороться?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Гон провайдера?"

Сообщение от Grmelik on 16-Янв-07, 15:03

Может... Какой-нибудь троян сидит, подхватив данные из Аутлука, и через 25 порт шлет. Надо смотреть логи почтового сервера. Нет ли там подозрительной активности?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Гон провайдера?"
	Сообщение от Hardman on 16-Янв-07, 15:33
	>Может... Какой-нибудь троян сидит, подхватив данные из Аутлука, и через 25 порт >шлет. Надо смотреть логи почтового сервера. Нет ли там подозрительной активности? > да я вообще пробовал останавливать сервер, звонил провайдеру - тажа фигня. Ктомуже снифер должен-же видеть?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Гон провайдера?"
	Сообщение от anyutini_glazki on 16-Янв-07, 16:50
	>да я вообще пробовал останавливать сервер, звонил провайдеру - тажа фигня. Ктомуже >снифер должен-же видеть? Если он запущен на заражённой машине - не факт. Пускай вышлют подробные логи почтового сервера - тогда будет ясно с каких машин твоей сети проявляется подобная активность. Ну и надо ещё проверить на открытые релеи, может ты давно светишся в спамлистах.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Гон провайдера?"
	Сообщение от Krist on 16-Янв-07, 15:58
	>Может... Какой-нибудь троян сидит, подхватив данные из Аутлука, и через 25 порт >шлет. Надо смотреть логи почтового сервера. Нет ли там подозрительной активности? > Твои серевера могут быть вообще не при чем. Могут станции-зомби отправлять спам из твоей сети. В этом случай провайдер может видеть только ip шлюза твоей сетки.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Гон провайдера?"
	Сообщение от Hardman on 16-Янв-07, 16:24
	>Твои серевера могут быть вообще не при чем. Могут станции-зомби отправлять спам >из твоей сети. В этом случай провайдер может видеть только ip >шлюза твоей сетки. ну да, это понятно. но почему ни файервол на шлюзе, ни сниффер не видят SMTP ссесий? Вот где загадка.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Гон провайдера?"
	Сообщение от Krist on 16-Янв-07, 16:31
	> >>Твои серевера могут быть вообще не при чем. Могут станции-зомби отправлять спам >>из твоей сети. В этом случай провайдер может видеть только ip >>шлюза твоей сетки. > >ну да, это понятно. но почему ни файервол на шлюзе, ни сниффер >не видят SMTP ссесий? Вот где загадка. Видимо потому что они используют свои smtp.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Гон провайдера?"
	Сообщение от Hardman on 16-Янв-07, 16:34
	>Видимо потому что они используют свои smtp. но нет открытых 25 протов
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Гон провайдера?"
	Сообщение от Hardman on 16-Янв-07, 16:35
	вернее через порт 25 нифега не передаётся
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Гон провайдера?"
	Сообщение от Krist on 16-Янв-07, 16:41
	>вернее через порт 25 нифега не передаётся А провайдер не может сказать с какого ip в твоей подсетке спам идет, или он говорит адрес шлюза ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Гон провайдера?"
	Сообщение от Hardman on 16-Янв-07, 16:42
	адрес шлюза говорит
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Гон провайдера?"
	Сообщение от Krist on 16-Янв-07, 16:44
	>адрес шлюза говорит А что на шлюзе стоит ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Гон провайдера?"
	Сообщение от Hardman on 16-Янв-07, 16:50
	>А что на шлюзе стоит ? там сервак, он-же контролер домена, на нем маршрутизация через Kerio?, и почтовый сервак на нём-же
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Гон провайдера?"
	Сообщение от Krist on 16-Янв-07, 16:54
	>>А что на шлюзе стоит ? >там сервак, он-же контролер домена, на нем маршрутизация через Kerio?, и почтовый >сервак на нём-же Да я уже понял. Вообщем жуть. Кто же винду на гейт ставит да еще и вместе с ad и брандмауером.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Гон провайдера?"
	Сообщение от Hardman on 16-Янв-07, 16:56
	>Да я уже понял. Вообщем жуть. Кто же винду на гейт ставит >да еще и вместе с ad и брандмауером. :) да ет не я.. я пришел ужо так всё и было
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Гон провайдера?"
	Сообщение от Krist on 16-Янв-07, 17:17
	>>Да я уже понял. Вообщем жуть. Кто же винду на гейт ставит >>да еще и вместе с ad и брандмауером. > >:) да ет не я.. я пришел ужо так всё и было > По винде на гейте не скажу, но с такой структурой как у вас - это не жисть. Я бы нашел перво наперво попробовал найти зомби сканером портов - http://insecure.org/nmap/download.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Гон провайдера?"

Сообщение от anyutini_glazki on 16-Янв-07, 16:41

Представь что троян это мини-smtp-сервер подымаемый на рабочей станции и выполняющий задания  через третьи руки от хакера, которому этот троян принадлежит. Соответственно то что ты остановил свой smtp-сервер никак не влияет на трояны. Можно посоветовать установить более подходящий smtp-сервер и файрвол под более подходящей серверной системой - Linux или FreeBSD.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Гон провайдера?"
	Сообщение от Hardman on 16-Янв-07, 16:46
	>Можно посоветовать установить более подходящий smtp-сервер и файрвол под более подходящей серверной >системой - Linux или FreeBSD. но если даже троян SMTP сервер, я должен же видеть его трафик на шлюзном файерволе, а в Linux`е я нифега не рублю, такшо это для меня не вариант
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Гон провайдера?"

Сообщение от Eldagar (??) on 17-Янв-07, 11:59

У тебя фаер как настроен - изнутри можно все? Ну закрой для начала в Керио 25 порт для всех внутренних машин и убедись вместе с провом что поток исчез. А потом уже ищи внутреннюю машину.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Гон провайдера?"
	Сообщение от Krist on 17-Янв-07, 15:45
	>У тебя фаер как настроен - изнутри можно все? > >Ну закрой для начала в Керио 25 порт для всех внутренних машин >и убедись вместе с провом что поток исчез. А потом уже >ищи внутреннюю машину. Да вообще не понятно почему провайдер не видит кто именно шлет спам. Думаю, что зомби сам шлюз.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Гон провайдера?"
	Сообщение от Grmelik on 17-Янв-07, 17:19
	>Да вообще не понятно почему провайдер не видит кто именно шлет спам. >Думаю, что зомби сам шлюз. Как не видит? Он же сказал адрес твоего шлюза, а теперь уже твоя задача разобраться кто зомби в твоей сетке...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Гон провайдера?"
	Сообщение от Eldagar (??) on 19-Янв-07, 14:05
	>Да вообще не понятно почему провайдер не видит кто именно шлет спам. >Думаю, что зомби сам шлюз. Закрытие для клиентов 25 порта позволит тебе понять - шлюз или нет. А потом - если поток спама большой - машина банально вычмсляется по окошку активности сетевой карты, раз уж по другому не получается :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]