jak sprawdzic ktory komputer rozsyla spam
Krzys
sytuacja jest następująca:
Jest sieć lokalna składająca się z ok 30 komputerów, która stoi za bramą
będącą jednocześnie serwerem pocztowym. Od pewnego czasu zaczęły się pojawiać
problemy z wysyłaniem maili gdyż odbiorcy odrzucają nasz serwer jako serwer
spamerski. Wygląda na to, że któryś (może więcej niż jeden) komputer w sieci
jest zainfekowany czymś co wysyła spam. Jak sprawdzić który to komputer?
Ewentualnie może ktoś ma jakieś inne wskazówki jak to rozwiązać?
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
Tomasz Chmielewski
> Witam wszystkich,
> sytuacja jest następująca:
> Jest sieć lokalna składająca się z ok 30 komputerów, która stoi za bramą
> będącą jednocześnie serwerem pocztowym. Od pewnego czasu zaczęły się pojawiać
> problemy z wysyłaniem maili gdyż odbiorcy odrzucają nasz serwer jako serwer
> spamerski. Wygląda na to, że któryś (może więcej niż jeden) komputer w sieci
> jest zainfekowany czymś co wysyła spam. Jak sprawdzić który to komputer?
> Ewentualnie może ktoś ma jakieś inne wskazówki jak to rozwiązać?
tcpdump?
--
Tomasz Chmielewski
http://wpkg.org
Andrzej Adam Filip
> Witam wszystkich,
> sytuacja jest następująca:
> Jest sieć lokalna składająca się z ok 30 komputerów, która stoi za bramą
> będącą jednocześnie serwerem pocztowym. Od pewnego czasu zaczęły się pojawiać
> problemy z wysyłaniem maili gdyż odbiorcy odrzucają nasz serwer jako serwer
> spamerski. Wygląda na to, że któryś (może więcej niż jeden) komputer w sieci
> jest zainfekowany czymś co wysyła spam. Jak sprawdzić który to komputer?
> Ewentualnie może ktoś ma jakieś inne wskazówki jak to rozwiązać?
0) W iptables ustaw logowanie wychodzących pakietów nawiązujących
połączenie SMTP - na 90% wykryjesz tym zawirusionego w góra dzień
1) Ustaw żeby NAT i serwer pocztowy chodziły na różnych adresach IP
choćby i zostały na jednej fizycznej maszynie.
2) Zablokuj wychodzące połączenia na port SMTP (25) poza krótką listą
wyjątków poszerzaną na życzenie userów
[ niech korzystają z portu MSA (587) ]
--
Andrzej Adam Filip : an...@onet.eu : Andrze...@gmail.com
Windy nie kradnij gdy masz Linuxa i to za darmo! :-)
Zygmunt M. Zarzecki
> Jest sieć lokalna składająca się z ok 30 komputerów, która stoi za bramą
> będącą jednocześnie serwerem pocztowym. Od pewnego czasu zaczęły się pojawiać
> problemy z wysyłaniem maili gdyż odbiorcy odrzucają nasz serwer jako serwer
> spamerski. Wygląda na to, że któryś (może więcej niż jeden) komputer w sieci
> jest zainfekowany czymś co wysyła spam. Jak sprawdzić który to komputer?
> Ewentualnie może ktoś ma jakieś inne wskazówki jak to rozwiązać?
tcpdump 'port 25 and !host ip.mail.servera'
lub
ustaw przekierowanie na firewallu dst 0.0.0.0/0:25 na ip.mail.servera/32:25
i obserwuj logi.
zyga
Marcin Kamiński
> Witam wszystkich,
> sytuacja jest następująca:
> Jest sieć lokalna składająca się z ok 30 komputerów, która stoi za bramą
> będącą jednocześnie serwerem pocztowym. Od pewnego czasu zaczęły się pojawiać
> problemy z wysyłaniem maili gdyż odbiorcy odrzucają nasz serwer jako serwer
> spamerski. Wygląda na to, że któryś (może więcej niż jeden) komputer w sieci
> jest zainfekowany czymś co wysyła spam. Jak sprawdzić który to komputer?
> Ewentualnie może ktoś ma jakieś inne wskazówki jak to rozwiązać?
>
snort + acidbase ?
pozdrawiam serdecznie.
LFC
> Witam wszystkich,
> sytuacja jest następująca:
> Jest sieć lokalna składająca się z ok 30 komputerów, która stoi za bramą
> będącą jednocześnie serwerem pocztowym. Od pewnego czasu zaczęły się
> pojawiać problemy z wysyłaniem maili gdyż odbiorcy odrzucają nasz serwer
> jako serwer spamerski. Wygląda na to, że któryś (może więcej niż jeden)
> komputer w sieci jest zainfekowany czymś co wysyła spam. Jak sprawdzić
> który to komputer? Ewentualnie może ktoś ma jakieś inne wskazówki jak to
> rozwiązać?
>
Zapuścić na bramie iptraf, albo tcpdump i zobaczyć w logach, z którego IP
sieje na porcie 25.
Następnie przyblokować na bramie ruch z tego hosta po tym porcie i
odwirusować szrota.
LFC