forum.opennet.ru - "Помогите разобраться. У меня вирус или нет?" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Помогите разобраться. У меня вирус или нет?"

Форум Информационная безопасность (Обнаружение и предотвращение атак / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Помогите разобраться. У меня вирус или нет?"	+/–
Сообщение от bcg_gonivo (ok) on 10-Май-11, 21:41
Проблема такая: я попал в RBL службу как спамер, и я не знаю то у меня вирус на сервере мыла либо то мои юзера рассылки делали. сервер мыла поднят на FreeBSD 7,3 стоит он внутри локальной сети и tcpdump говорит что данный сервер раз в некотрое время что то отправляет, я в никсах чайник, помогите понять плз это так надо или это вирус у меня на сервере? вот что говорит "tcpdump port 25" (в нерабочее время) 20:00:58.183907 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141520 win 987 <nop,nop,timestamp 3551203035 1091085988> 20:00:58.184170 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141520 win 2015 <nop,nop,timestamp 3551203036 1091085988> 20:00:58.185777 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141520 win 3044 <nop,nop,timestamp 3551203037 1091085988> 20:00:58.187325 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141520 win 4072 <nop,nop,timestamp 3551203039 1091085988> 20:00:58.188933 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141520 win 5101 <nop,nop,timestamp 3551203040 1091085988> 20:00:58.190489 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141520 win 6130 <nop,nop,timestamp 3551203042 1091085988> 20:00:58.192046 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141520 win 7158 <nop,nop,timestamp 3551203043 1091085988> 20:00:58.193607 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141520 win 8187 <nop,nop,timestamp 3551203045 1091085988> 20:01:01.287122 IP 192.168.0.6.51956 > trade-exc01.tradelink.gr.smtp: S 626660808:626660808(0) win 65535 <mss 1460,sackOK,eol> 20:01:12.435256 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: P 1585:1654(69) ack 141520 win 8326 <nop,nop,timestamp 3551217287 1091085988> 20:01:12.438128 IP mail.ua-tenders.com.41737 > 192.168.0.6.smtp: P 141520:141557(37) ack 1654 win 85 <nop,nop,timestamp 1091100246 3551217287> 20:01:12.438235 IP mail.ua-tenders.com.41737 > 192.168.0.6.smtp: P 141557:141594(37) ack 1654 win 85 <nop,nop,timestamp 1091100246 3551217287> 20:01:12.438318 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141594 win 8316 <nop,nop,timestamp 3551217290 1091100246> 20:01:12.438336 IP mail.ua-tenders.com.41737 > 192.168.0.6.smtp: F 141594:141594(0) ack 1654 win 85 <nop,nop,timestamp 1091100246 3551217287> 20:01:12.438358 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: . ack 141595 win 8316 <nop,nop,timestamp 3551217290 1091100246> 20:01:12.471980 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: P 1654:1723(69) ack 141595 win 8321 <nop,nop,timestamp 3551217323 1091100246> 20:01:12.472116 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: P 1723:1760(37) ack 141595 win 8321 <nop,nop,timestamp 3551217324 1091100246> 20:01:12.472478 IP 192.168.0.6.smtp > mail.ua-tenders.com.41737: F 1760:1760(0) ack 141595 win 8326 <nop,nop,timestamp 3551217324 1091100246> 20:01:12.472999 IP mail.ua-tenders.com.41737 > 192.168.0.6.smtp: R 3337773460:3337773460(0) win 0 20:01:12.473136 IP mail.ua-tenders.com.41737 > 192.168.0.6.smtp: R 3337773460:3337773460(0) win 0 20:01:12.473236 IP mail.ua-tenders.com.41737 > 192.168.0.6.smtp: R 3337773460:3337773460(0) win 0 20:01:25.487051 IP 192.168.0.6.51956 > trade-exc01.tradelink.gr.smtp: S 626660808:626660808(0) win 65535 <mss 1460,sackOK,eol> 20:01:42.876686 IP 192.168.0.6.64691 > a0063.abansys.com.smtp: S 863030551:863030551(0) win 65535 <mss 1460,nop,wscale 3,sackOK,timestamp 3342205821 0> 20:01:42.978368 IP a0063.abansys.com.smtp > 192.168.0.6.64691: S 1552519303:1552519303(0) ack 863030552 win 5792 <mss 1460,sackOK,timestamp 2157523930 3342205821,nop,wscale 7> 20:01:42.978491 IP 192.168.0.6.64691 > a0063.abansys.com.smtp: . ack 1 win 8326 <nop,nop,timestamp 3342205923 2157523930> 20:01:43.086218 IP a0063.abansys.com.smtp > 192.168.0.6.64691: P 1:93(92) ack 1 win 46 <nop,nop,timestamp 2157524038 3342205923> 20:01:43.086420 IP 192.168.0.6.64691 > a0063.abansys.com.smtp: F 1:1(0) ack 93 win 8326 <nop,nop,timestamp 3342206031 2157524038> 20:01:43.188301 IP a0063.abansys.com.smtp > 192.168.0.6.64691: P 93:113(20) ack 2 win 46 <nop,nop,timestamp 2157524140 3342206031> 20:01:43.188390 IP 192.168.0.6.64691 > a0063.abansys.com.smtp: R 863030553:863030553(0) win 0 20:01:43.188401 IP a0063.abansys.com.smtp > 192.168.0.6.64691: F 113:113(0) ack 2 win 46 <nop,nop,timestamp 2157524140 3342206031> 20:01:43.188415 IP 192.168.0.6.64691 > a0063.abansys.com.smtp: R 863030553:863030553(0) win 0
Ответить \| Правка \| Cообщить модератору

Оглавление

Помогите разобраться. У меня вирус или нет?, reader, 22:38 , 10-Май-11, (1)

Помогите разобраться. У меня вирус или нет?, bcg_gonivo, 02:00 , 11-Май-11, (2)

Помогите разобраться. У меня вирус или нет?, reader, 13:14 , 11-Май-11, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Помогите разобраться. У меня вирус или нет?" +/–

Сообщение от reader (ok) on 10-Май-11, 22:38

если 192.168.0.6 это почтовый сервер, то возможно
1 через него шлют из инета.
2 через него шлют ваши пользователи
3 он сам шлет.
3-й вариант в меньшей мере, 1-й или 2-й, а может и 1-й и 2-й более вероятней.
ответы есть в логах почтового сервера.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите разобраться. У меня вирус или нет?" +/–

Сообщение от bcg_gonivo (ok) on 11-Май-11, 02:00

> если 192.168.0.6 это почтовый сервер, то возможно
> 1 через него шлют из инета.
> 2 через него шлют ваши пользователи
> 3 он сам шлет.
> 3-й вариант в меньшей мере, 1-й или 2-й, а может и 1-й
> и 2-й более вероятней.
> ответы есть в логах почтового сервера.
1. 192.168.0.6 стоит внутри локальной сети, есть еще шлюз на дебиане (в инет смотрит только он), потому 1 вариант походу отпадает.
2. пользователи не шлют, так как тогда в дампе показывались бы ихние айпи.
3. а вот к этом склоняюсь больше всего, но так как чайник не уверен...
еще есть какие то варианты у кого?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Помогите разобраться. У меня вирус или нет?" +/–

Сообщение от reader (ok) on 11-Май-11, 13:14

>> если 192.168.0.6 это почтовый сервер, то возможно
>> 1 через него шлют из инета.
>> 2 через него шлют ваши пользователи
>> 3 он сам шлет.
>> 3-й вариант в меньшей мере, 1-й или 2-й, а может и 1-й
>> и 2-й более вероятней.
>> ответы есть в логах почтового сервера.
> 1. 192.168.0.6 стоит внутри локальной сети, есть еще шлюз на дебиане (в
> инет смотрит только он), потому 1 вариант походу отпадает.
если порт не проброшен, то отпадает, а если проброшен , то нет
> 2. пользователи не шлют, так как тогда в дампе показывались бы ихние
> айпи.
если шлют не напрямую, а через почтовый сервер, то не отпадает
> 3. а вот к этом склоняюсь больше всего, но так как чайник
> не уверен...
> еще есть какие то варианты у кого?
вариант, смотреть логи почтового сервера на предмет откуда появились эти письма, от кого были получены

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите разобраться. У меня вирус или нет?"	+/–
Сообщение от reader (ok) on 10-Май-11, 22:38
если 192.168.0.6 это почтовый сервер, то возможно 1 через него шлют из инета. 2 через него шлют ваши пользователи 3 он сам шлет. 3-й вариант в меньшей мере, 1-й или 2-й, а может и 1-й и 2-й более вероятней. ответы есть в логах почтового сервера.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Помогите разобраться. У меня вирус или нет?"	+/–
	Сообщение от bcg_gonivo (ok) on 11-Май-11, 02:00
	> если 192.168.0.6 это почтовый сервер, то возможно > 1 через него шлют из инета. > 2 через него шлют ваши пользователи > 3 он сам шлет. > 3-й вариант в меньшей мере, 1-й или 2-й, а может и 1-й > и 2-й более вероятней. > ответы есть в логах почтового сервера. 1. 192.168.0.6 стоит внутри локальной сети, есть еще шлюз на дебиане (в инет смотрит только он), потому 1 вариант походу отпадает. 2. пользователи не шлют, так как тогда в дампе показывались бы ихние айпи. 3. а вот к этом склоняюсь больше всего, но так как чайник не уверен... еще есть какие то варианты у кого?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Помогите разобраться. У меня вирус или нет?"	+/–
	Сообщение от reader (ok) on 11-Май-11, 13:14
	>> если 192.168.0.6 это почтовый сервер, то возможно >> 1 через него шлют из инета. >> 2 через него шлют ваши пользователи >> 3 он сам шлет. >> 3-й вариант в меньшей мере, 1-й или 2-й, а может и 1-й >> и 2-й более вероятней. >> ответы есть в логах почтового сервера. > 1. 192.168.0.6 стоит внутри локальной сети, есть еще шлюз на дебиане (в > инет смотрит только он), потому 1 вариант походу отпадает. если порт не проброшен, то отпадает, а если проброшен , то нет > 2. пользователи не шлют, так как тогда в дампе показывались бы ихние > айпи. если шлют не напрямую, а через почтовый сервер, то не отпадает > 3. а вот к этом склоняюсь больше всего, но так как чайник > не уверен... > еще есть какие то варианты у кого? вариант, смотреть логи почтового сервера на предмет откуда появились эти письма, от кого были получены
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору