Blacklist

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
lexy
сержант
Сообщения: 288
Зарегистрирован: 2006-07-21 9:54:44
Откуда: Волхов, ЛО
Контактная информация:

Непрочитанное сообщение lexy » 2006-11-02 10:42:13

chinga писал(а):Дело вирусах оказывается. Вот че CBL писал "This IP is likely infected with the Stration/Warezov worm."
Наверно сразу не обратил внимания:(
Получается я попадал в списки из-за того что письма с вирусами были? Или этот вирь сам спам рассылал?
В /var/log/clamd.log ничего про вирусы не нашел/ Он что пропускает их чтоли?
что и требовалось доказать :lol:
точнее не доказать, а найти...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
chinga
мл. сержант
Сообщения: 74
Зарегистрирован: 2006-08-15 7:43:23
Откуда: Kazakhstan, Alamty
Контактная информация:

Непрочитанное сообщение chinga » 2006-11-02 11:08:53

Да я на клам понадеялся. Ну и думал что в списки попадают только из-за спама а не вирусов.
Так вот он какой ты, цветочек, аленькый.

Аватара пользователя
lexy
сержант
Сообщения: 288
Зарегистрирован: 2006-07-21 9:54:44
Откуда: Волхов, ЛО
Контактная информация:

Непрочитанное сообщение lexy » 2006-11-02 11:37:20

chinga писал(а):Да я на клам понадеялся. Ну и думал что в списки попадают только из-за спама а не вирусов.
из за спама, который вирусы генерят ))))

странно, ты Clam с какой частотой обновляешь?
У меня раз в 2 часа - ни один вирус не пролазит.....
правда они еще через осла ползти могут с порнушных и хак сайтов, дык Squid+С-ICAP+ClamAV, или тем же сквидом всю порнуху закрыть (юзеры ведь слов русских не понимают: две недели тут одного своего мониторю, все по знакомствам шарится. Он сайт находит - я ему ниччо не говорю, закрываю... дык упорный блин еще находит. пусть, помошничек.), могу базку фильтров подкинуть )))))

Аватара пользователя
chinga
мл. сержант
Сообщения: 74
Зарегистрирован: 2006-08-15 7:43:23
Откуда: Kazakhstan, Alamty
Контактная информация:

Непрочитанное сообщение chinga » 2006-11-03 6:40:31

Так, если все же вирус генерит спам, то почему в логах мыльника ничего нет? Там только входящий спам.
Кстати, проверился на опенрелей - Все ок.
and does not seem to permit relaying.
Насчет сайтов - я всем каспера поставил, думаю хватит.
А насчет виря этого сейчас поищу чего нибудь почитать.
Так вот он какой ты, цветочек, аленькый.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-11-03 8:34:41

может добрые люди шутят?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
lexy
сержант
Сообщения: 288
Зарегистрирован: 2006-07-21 9:54:44
Откуда: Волхов, ЛО
Контактная информация:

Непрочитанное сообщение lexy » 2006-11-05 16:43:50

chinga писал(а):Так, если все же вирус генерит спам, то почему в логах мыльника ничего нет? Там только входящий спам.
Кстати, проверился на опенрелей - Все ок.
and does not seem to permit relaying.
Насчет сайтов - я всем каспера поставил, думаю хватит.
А насчет виря этого сейчас поищу чего нибудь почитать.
потому что вирь рассылает спам как MTA а не MUA, т.е. напрямую, поэтому, чтоб исключить подобные рассылки, нужно всем юзерам за файером запретить натится хотябы по 25 порту, а еще лучше - совсем запретить натится и все пускать через собственный SMTP и проксю

Аватара пользователя
chinga
мл. сержант
Сообщения: 74
Зарегистрирован: 2006-08-15 7:43:23
Откуда: Kazakhstan, Alamty
Контактная информация:

Непрочитанное сообщение chinga » 2006-11-07 13:07:22

Вот что сделал

Код: Выделить всё

${FwCMD} add allow log ip from any to 192.168.0.200 25 via ${LanIn}
${FwCMD} add deny log ip from any to any 25 via ${LanIn}
Сойдет? Вообщем, будем смотреть.
Так вот он какой ты, цветочек, аленькый.

Аватара пользователя
chinga
мл. сержант
Сообщения: 74
Зарегистрирован: 2006-08-15 7:43:23
Откуда: Kazakhstan, Alamty
Контактная информация:

Непрочитанное сообщение chinga » 2006-11-08 11:45:04

Ништяк, вроде заработало:
cat /var/log/security

Код: Выделить всё

Nov  8 13:59:26 ns kernel: ipfw: 3400 Deny TCP 192.168.0.203:1345 88.214.208.19:25 in via re0
Nov  8 13:59:35 ns last message repeated 2 times
ipfw show

Код: Выделить всё

03300 5 240 allow log logamount 100 ip from any to 192.168.0.200 dst-port 25 via re0
03400 87 4176 deny log logamount 100 ip from any to any dst-port 25 via re0
Так вот он какой ты, цветочек, аленькый.