The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как узнать от какой машины идет спам?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Разное)
Изначальное сообщение [ Отслеживать ]

"Как узнать от какой машины идет спам?"  +/
Сообщение от geef (ok) on 03-Мрт-15, 15:25 
Привет.
За последние пару дней несколько раз попал в спамлист Spamhaus.org,
там пишут:
This was detected by a TCP/IP connection from $myexpip on port 64631 going to IP address 192.42.116.41 (the sinkhole) on port 80.

The botnet command and control domain for this connection was "fusdsssufsd3.com".

Я так понимаю, кто-то подцепил вирусню.
Гейтом стоит Ubuntu, часть пользователей идет через сквид, некоторые напрямую просто за натом. Как вычислить от какого компа в сети идет какашка?

Тут же второй вопрос.
За тем же натом есть почта на Exchange. Как сделать правила проброса портов так, чтобы почтовик в отправителе видел ip отправителя, а не ip моего гейта?
Сейчас проброс делается вот такими правилами:
iptables -t nat -A PREROUTING -i eth1 -p tcp -d $EXTIP --dport 25 -j DNAT --to-destination $MAILIP:25
iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport 25 -j SNAT --to-source $EXTIP

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как узнать от какой машины идет спам?"  +/
Сообщение от fantom (ok) on 03-Мрт-15, 16:30 
>[оверквотинг удален]
> натом. Как вычислить от какого компа в сети идет какашка?
> Тут же второй вопрос.
> За тем же натом есть почта на Exchange. Как сделать правила проброса
> портов так, чтобы почтовик в отправителе видел ip отправителя, а не
> ip моего гейта?
> Сейчас проброс делается вот такими правилами:
> iptables -t nat -A PREROUTING -i eth1 -p tcp -d $EXTIP --dport
> 25 -j DNAT --to-destination $MAILIP:25
> iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport
> 25 -j SNAT --to-source $EXTIP

Первый вопрос:
"The botnet command and control domain for this connection was "fusdsssufsd3.com"."
Найти обращающийся на "fusdsssufsd3.com" хост....

Второй вопрос:
Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
(SNAT)

Пожелание - научится не только читать HowTo, но и попытаться их понять....

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как узнать от какой машины идет спам?"  +/
Сообщение от geef (ok) on 03-Мрт-15, 17:13 
>[оверквотинг удален]
>> 25 -j DNAT --to-destination $MAILIP:25
>> iptables -t nat -A POSTROUTING -o eth0 -p tcp -d $MAILIP --dport
>> 25 -j SNAT --to-source $EXTIP
> Первый вопрос:
> "The botnet command and control domain for this connection was "fusdsssufsd3.com"."
> Найти обращающийся на "fusdsssufsd3.com" хост....
> Второй вопрос:
> Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
> (SNAT)
> Пожелание - научится не только читать HowTo, но и попытаться их понять....

Спасибо.
По первому вопросу, это я понял, вопрос в том КАК найти этого юзера?
По второму, я правильно понял, что нужно просто убрать второе правило (содержащее SNAT)?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Как узнать от какой машины идет спам?"  +/
Сообщение от fantom (ok) on 03-Мрт-15, 17:17 
>[оверквотинг удален]
>> Первый вопрос:
>> "The botnet command and control domain for this connection was "fusdsssufsd3.com"."
>> Найти обращающийся на "fusdsssufsd3.com" хост....
>> Второй вопрос:
>> Посмотреть на правила файрвола и убрать правило, меняющее адрес источника.
>> (SNAT)
>> Пожелание - научится не только читать HowTo, но и попытаться их понять....
> Спасибо.
> По первому вопросу, это я понял, вопрос в том КАК найти этого
> юзера?

По логам сквида??
Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41) порт 80??
Отслеживать tcpdump-ом в реальном времени?
Выбор средства или их комбинации за вами.

> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
> SNAT)?

Если все везде настроено соответствующим образом то да.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Как узнать от какой машины идет спам?"  +/
Сообщение от geef (ok) on 03-Мрт-15, 17:27 
>[оверквотинг удален]
>> По первому вопросу, это я понял, вопрос в том КАК найти этого
>> юзера?
> По логам сквида??
> Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41)
> порт 80??
> Отслеживать tcpdump-ом в реальном времени?
> Выбор средства или их комбинации за вами.
>> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
>> SNAT)?
> Если все везде настроено соответствующим образом то да.

Тот, кто обращается на этот ресурс скоре всего сидит мимо сквида, можно пожалуйста пример правила для отслеживания фаерволом?
tcpdump за сутки по названию сайта не записал ни одного обращения.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Как узнать от какой машины идет спам?"  +/
Сообщение от fantom (ok) on 03-Мрт-15, 17:44 
>[оверквотинг удален]
>> Добавить правило в файрвол для логирования обращений на IP для fusdsssufsd3.com(192.42.116.41)
>> порт 80??
>> Отслеживать tcpdump-ом в реальном времени?
>> Выбор средства или их комбинации за вами.
>>> По второму, я правильно понял, что нужно просто убрать второе правило (содержащее
>>> SNAT)?
>> Если все везде настроено соответствующим образом то да.
> Тот, кто обращается на этот ресурс скоре всего сидит мимо сквида, можно
> пожалуйста пример правила для отслеживания фаерволом?
> tcpdump за сутки по названию сайта не записал ни одного обращения.

Для начала посмотрите
https://www.opennet.ru/docs/RUS/iptables/#TABLE.LOGTARGET

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру