forum.opennet.ru - "Мой IP постоянно попадает в http://cbl.abuseat.org" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Мой IP постоянно попадает в http://cbl.abuseat.org"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Мой IP постоянно попадает в http://cbl.abuseat.org"
Сообщение от William on 27-Фев-07, 09:22
Уже и не знаю, что делать, постоянно попадаю в http://cbl.abuseat.org Стоит FreeBSD с NAT'ом. За ним сетка из 200-300 машин. В последнее время каждый день попадаю в список спамеров. Все адреса в подсети из пространства 192.168.0.0/16. Сделал заворот всего почтового трафика на свой серв: fwd MY_IP,25 tcp from 192.168.0.0/16 to not MY_IP dst-port 25 В итоге, если кто-то из внутренней подсети поймал вирус, рассылка с зараженной машины будет попадать в мой Sendmail. А самописный скрипт при активности более 50 писем за 15 минут закроет доступ для зараженной машины. Раньше все так и было. Но сейчас в логах все чисто, никакой спам-активности, а банят каждый день. Есть идеи куда копать ????
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Мой IP постоянно попадает в http://cbl.abuseat.org, shados, 10:11 , 27-Фев-07, (1)

Мой IP постоянно попадает в http://cbl.abuseat.org, William, 11:01 , 27-Фев-07, (2)

Мой IP постоянно попадает в http://cbl.abuseat.org, Пользователь, 11:45 , 27-Фев-07, (3)

Мой IP постоянно попадает в http://cbl.abuseat.org, xl, 05:38 , 15-Мрт-07, (4)

Мой IP постоянно попадает в http://cbl.abuseat.org, William, 12:17 , 23-Мрт-07, (5)

Мой IP постоянно попадает в http://cbl.abuseat.org, slepnogaGentoo, 21:20 , 24-Мрт-07, (6)
Мой IP постоянно попадает в http://cbl.abuseat.org, William, 13:58 , 29-Мрт-07, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "Мой IP постоянно попадает в http://cbl.abuseat.org"

Сообщение от shados (ok) on 27-Фев-07, 10:11

А может твой сервер просто кто-то поимел и у тебя уже крутится открытая прокся в скрытых процессах?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Мой IP постоянно попадает в http://cbl.abuseat.org"

Сообщение от William on 27-Фев-07, 11:01

>А может твой сервер просто кто-то поимел и у тебя уже крутится
>открытая прокся в скрытых процессах?
ps axu - вижу только мои процессы
sockstat - опять же только то, что я знаю
в кронтабе ничего подозрительного.
ГЫ. А как скрытые процессы-то посмотреть ? 8-\

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Мой IP постоянно попадает в http://cbl.abuseat.org"

Сообщение от Пользователь on 27-Фев-07, 11:45

>>А может твой сервер просто кто-то поимел и у тебя уже крутится
>>открытая прокся в скрытых процессах?
>
>ps axu - вижу только мои процессы
>sockstat - опять же только то, что я знаю
>в кронтабе ничего подозрительного.
>ГЫ. А как скрытые процессы-то посмотреть ? 8-\
ps и sockstat и остальное запросто у тебя могут быть уже подменены.
контрольный суммы системных файлов имеются? если нет, грузись с live cd и проверяй.
можно снаружи посканить машинку, или послушать что на нее идет. вобщем если такая подозрительная частота попадания в блэклисты,то лучше априори считать что машинка взломана и не доверять. немного параноидального подхода никогда не помешает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Мой IP постоянно попадает в http://cbl.abuseat.org"

Сообщение от xl on 15-Мрт-07, 05:38

Я тупо смотрел tcpdump'ом весь почтовый трафик.. Поймал зараженную машину за 10 минут..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Мой IP постоянно попадает в http://cbl.abuseat.org"

Сообщение от William on 23-Мрт-07, 12:17

Собрал из сырцов ps, sockstat, netstat.
Сделал nmap этого сервака с соседней машины.
Поиск никакого результата не принес.
Написал мыло в cbl.abuseat.org.
Вот кусок ответа:
The IP (тут мой IP) was positively identified, most recently at:
...
to be participating in a distributed denial-of-service (DDOS) attack on
the cbl.abuseat.org web page
Так что не за мыло меня банили. Похоже, просто кто-то из юзверей подхватил какого-то трояна и валил cbl.abuseat.org.
Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org.
Жду результат...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Мой IP постоянно попадает в http://cbl.abuseat.org"

Сообщение от slepnogaGentoo on 24-Мрт-07, 21:20

zakroi 25 port vsem krome svoego MTA .
Nah uzeram za NATom 25 port ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Мой IP постоянно попадает в http://cbl.abuseat.org"

Сообщение от William on 29-Мрт-07, 13:58

>Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org.
>Жду результат...
Зараза найдена: из сетки один комп лез на 80й порт cbl.abuseat.org
Банить перестали

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Мой IP постоянно попадает в http://cbl.abuseat.org"
Сообщение от shados (ok) on 27-Фев-07, 10:11
А может твой сервер просто кто-то поимел и у тебя уже крутится открытая прокся в скрытых процессах?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Мой IP постоянно попадает в http://cbl.abuseat.org"
	Сообщение от William on 27-Фев-07, 11:01
	>А может твой сервер просто кто-то поимел и у тебя уже крутится >открытая прокся в скрытых процессах? ps axu - вижу только мои процессы sockstat - опять же только то, что я знаю в кронтабе ничего подозрительного. ГЫ. А как скрытые процессы-то посмотреть ? 8-\
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Мой IP постоянно попадает в http://cbl.abuseat.org"
	Сообщение от Пользователь on 27-Фев-07, 11:45
	>>А может твой сервер просто кто-то поимел и у тебя уже крутится >>открытая прокся в скрытых процессах? > >ps axu - вижу только мои процессы >sockstat - опять же только то, что я знаю >в кронтабе ничего подозрительного. >ГЫ. А как скрытые процессы-то посмотреть ? 8-\ ps и sockstat и остальное запросто у тебя могут быть уже подменены. контрольный суммы системных файлов имеются? если нет, грузись с live cd и проверяй. можно снаружи посканить машинку, или послушать что на нее идет. вобщем если такая подозрительная частота попадания в блэклисты,то лучше априори считать что машинка взломана и не доверять. немного параноидального подхода никогда не помешает.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Мой IP постоянно попадает в http://cbl.abuseat.org"
	Сообщение от xl on 15-Мрт-07, 05:38
	Я тупо смотрел tcpdump'ом весь почтовый трафик.. Поймал зараженную машину за 10 минут..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Мой IP постоянно попадает в http://cbl.abuseat.org"
Сообщение от William on 23-Мрт-07, 12:17
Собрал из сырцов ps, sockstat, netstat. Сделал nmap этого сервака с соседней машины. Поиск никакого результата не принес. Написал мыло в cbl.abuseat.org. Вот кусок ответа: The IP (тут мой IP) was positively identified, most recently at: ... to be participating in a distributed denial-of-service (DDOS) attack on the cbl.abuseat.org web page Так что не за мыло меня банили. Похоже, просто кто-то из юзверей подхватил какого-то трояна и валил cbl.abuseat.org. Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org. Жду результат...
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Мой IP постоянно попадает в http://cbl.abuseat.org"
	Сообщение от slepnogaGentoo on 24-Мрт-07, 21:20
	zakroi 25 port vsem krome svoego MTA . Nah uzeram za NATom 25 port ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Мой IP постоянно попадает в http://cbl.abuseat.org"
	Сообщение от William on 29-Мрт-07, 13:58
	>Добавил логирование в файрволе всего, что лезет на подсетку cbl.abuseat.org. >Жду результат... Зараза найдена: из сетки один комп лез на 80й порт cbl.abuseat.org Банить перестали
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]