Похоже меня юзают в качестве спамера

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
de-signer
сержант
Сообщения: 220
Зарегистрирован: 2007-05-11 14:39:01
Откуда: Отсюда :)

Похоже меня юзают в качестве спамера

Непрочитанное сообщение de-signer » 2007-09-18 14:32:01

Положение:
в локалке 3 компа: 1.2 под FC6 ведёт себя тихо; 1.1 под FreeBSD 4.11 сделан прозрачным прокси и тоже работает как часы; 1.3 под WinXP творит чудеса. Постоянно идёт передача во внешнюю сеть.
На прокси tcpdump даёт следующее:

Код: Выделить всё

04:19:08.167619 192.168.1.3.2684 > 66.232.98.112.http: S 3828327767:3828327767(0
) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:08.190710 66.232.98.112.http > 192.168.1.3.2684: S 2028822754:2028822754(0
) ack 3828327768 win 5840 <mss 1348,nop,nop,sackOK> (DF)
04:19:08.191151 192.168.1.3.2684 > 66.232.98.112.http: . ack 1 win 64704 (DF)
04:19:08.191300 192.168.1.3.2684 > 66.232.98.112.http: P 1:253(252) ack 1 win 64
704 (DF)
04:19:08.216940 66.232.98.112.http > 192.168.1.3.2684: . ack 253 win 6432 (DF) 
04:19:08.552365 66.232.98.112.http > 192.168.1.3.2684: P 1:210(209) ack 253 win
6432 (DF)
04:19:08.552851 192.168.1.3.2684 > 66.232.98.112.http: F 253:253(0) ack 210 win [code]
64495 (DF)
04:19:08.553752 66.232.98.112.http > 192.168.1.3.2684: F 210:210(0) ack 253 win
6432 (DF)
04:19:08.554146 192.168.1.3.2684 > 66.232.98.112.http: . ack 211 win 64495 (DF)
04:19:08.574102 66.232.98.112.http > 192.168.1.3.2684: . ack 254 win 6432 (DF)
04:19:08.995727 192.168.1.3.2685 > 66.232.98.112.http: S 3828547424:3828547424(0
) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:09.022718 66.232.98.112.http > 192.168.1.3.2685: S 2023127206:2023127206(0
) ack 3828547425 win 5840 <mss 1348,nop,nop,sackOK> (DF)
04:19:09.023091 192.168.1.3.2685 > 66.232.98.112.http: . ack 1 win 64704 (DF)
04:19:09.023219 192.168.1.3.2685 > 66.232.98.112.http: P 1:201(200) ack 1 win 64
704 (DF)[/code]
Жаль, но пока для меня это тёмный лес. Примерно предполагаю, что ACK - запрос на подключение (может не прав) вижу, что подключается по 80 порту (по логу - http)
далее, пообщавшись с этим 66.232.98.112, идёт следующее:

Код: Выделить всё

04:19:11.195772 192.168.1.3.2687 > 216.129.98.150.smtp: S 3829130883:3829130883(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.197135 192.168.1.3.2688 > 216.129.98.150.smtp: S 3829190827:3829190827(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.198425 192.168.1.3.2689 > 216.129.98.150.smtp: S 3829247919:3829247919(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.199765 192.168.1.3.2690 > 216.129.98.150.smtp: S 3829315022:3829315022(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.203405 192.168.1.3.2691 > 216.129.98.150.smtp: S 3829360912:3829360912(
0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
04:19:11.745842 192.168.1.3.2685 > 66.232.98.112.http: F 201:201(0) ack 349 win
64357 (DF)
Т.е начинается отсылка (S в логе) по 25 порту = smtp
Виндовый netstat подтверждает наличие и попутную организацию одновременно около 5-15 подключений, попутно сообщая, что PID процесса = explorer.exe

Подскажите, как эту спамерскую падлу выловить (наверное это в форум по винде надо, но может кто сталкивался).
И как _правильно_ запретить smtp подключения (юзая ipfw), НЕ убив при этом почтовый клиент на WinXP машине?
Заранее благодарен за помощь.
---
"Если я рассуждаю логично, то это значит только то, что я не сумашедший, но вовсе не доказывает, что я прав" (с)И.П.Павлов

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Похоже меня юзают в качестве спамера

Непрочитанное сообщение schizoid » 2007-09-18 14:43:04

ну для начала антивир стоит?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

de-signer
сержант
Сообщения: 220
Зарегистрирован: 2007-05-11 14:39:01
Откуда: Отсюда :)

Re: Похоже меня юзают в качестве спамера

Непрочитанное сообщение de-signer » 2007-09-18 14:54:18

На XP стоит KAV. Не фига не чует!
---
"Если я рассуждаю логично, то это значит только то, что я не сумашедший, но вовсе не доказывает, что я прав" (с)И.П.Павлов

Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

Re: Похоже меня юзают в качестве спамера

Непрочитанное сообщение Sova » 2007-09-18 15:03:08

de-signer писал(а):На XP стоит KAV. Не фига не чует!
KAV и обзывают Кашмаровским :) Поставь другой антивирус, а лучше два (например НОД и DrWeb current, с последними антивирусными сборками) и просканируй комп. А еще проверь на троянов и spyware и adware. Если они систему незавалят, то прогресс налицо
Чтобы чувствовать себя орлом, нужно летать с орлами.

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Похоже меня юзают в качестве спамера

Непрочитанное сообщение f0s » 2007-09-18 15:06:42

можно на тот комп поставить фаер и запретить 25 порт

зы. живность ищешь так:

ставишь nod32, avg antispyware, spybot search & destroy, cccleaner, hijackthis

апускаешь, обновляешь юазы всех прорамм через инет, далее грузишься в сейф мод БЕЗ поддержки сети. и далее запускаешь . ВНИМАНИЕ. важен порядок:

сначала ccleaner, там с параметрами по умолчанию чистишь, закрываешь
затем avg antispyware - полный скан
рестарт опять в сейф мод БЕЗ сети
далее spybot search & destroy
опять рестарт и опять в тот же сейф мод БЕЗ сети
далее пускаешь hijackthis и смотришь внимательно на какие файлы он ссылается и что запускает.. все левое отмечаешь галочкой и стираешь нафиг (тут поможет только опыт опознать что хороший процесс, а что плохой)
затем пускаешь нод32, затем рестарт в обычный режим, и запускаешь нод32 ГЛУБОКИЙ АНАЛИЗ. таким образом лечистя все, за исколючене неизлечимых и невидимых руткитов
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
Sova
старшина
Сообщения: 444
Зарегистрирован: 2006-09-13 14:10:59
Откуда: Цхинвал-Москва
Контактная информация:

Re: Похоже меня юзают в качестве спамера

Непрочитанное сообщение Sova » 2007-09-18 15:27:20

f0s опередил меня с подробным описанием :).
А если не помогло то остаеться одно: format c: :lol:

de-signer
сержант
Сообщения: 220
Зарегистрирован: 2007-05-11 14:39:01
Откуда: Отсюда :)

Re: Похоже меня юзают в качестве спамера

Непрочитанное сообщение de-signer » 2007-09-18 15:55:51

Спасибо за советы. Попробую завтра.
Сегодня запустил старенький AVZ. Он сказал: "c:\windows\system32\svchost.exe:exe.exe >>> Возможна маскировка процесса" Не знаю что это, но из реестра поудалял всё, что связано с ним было. Ключ реестра где он сидел назывался "ICF".
---
"Если я рассуждаю логично, то это значит только то, что я не сумашедший, но вовсе не доказывает, что я прав" (с)И.П.Павлов

kotyara
проходил мимо

Re: Похоже меня юзают в качестве спамера

Непрочитанное сообщение kotyara » 2007-12-08 0:19:49

Я думаю вопрос уже решен - но на будующее если кто сюда заглянет - все значительно проще - это просто был подвешен зомбяк. Что такое зомби сети можно прочитать подробно в инете. В кратце програма висящая в памяти и занимающаяся своим собственным делом - как то например производящая DDOS атаку, или проще говоря заваливающая какието внешние сервера запросами. Нормальный сервер 1 машина не завалит, но когда таких машин много... Вот именно по этому они так популярны. Вы проводите рассылку таким ПО, оно вешаеться и переодически лазиет на какойто внешний хост за списком серверов которые необходимо забить запросами. Когда этот список появляеться прога начинает по заданному в списке хосту генерить подключения тобишь делать запрос на создание подключеня к нему не завершая запроса. В итоге образуется висящий запрос по которому сервер ожидает отклика от клиента чтобы создать таки соеденение. В это время хост генерит еще один запрос, потом еще один и тд. в итоге с одного хоста получаеться до нескольких тысяч соеденений. А теперь представьте что вашу рассылку получили полтора милиона пользователей, из них тыркнуло по файлику пусть даже 5% - получем 75 тысяч хостов генерящих по 1 тысяче соеденений - тобиш 75 милионов одномоментных подключений. Дальше я думаю объяснять не надо. Канал у сервера умер, а если не умер канал, то умер сам сервер просто пытаясь все ето обработать.
Теперь о методах лечения - ставим локальный фаир в режим чтобы он запрашивал можно ли процессу вылезти тудато. Банально в качестве фаира можно заюзать аутпост или чтото в етом роде. Потом смотрим кто куда лезит и таким образом вычисляем зомбяка.
Вот вобщемто и все.

kotyara
проходил мимо

Re: Похоже меня юзают в качестве спамера

Непрочитанное сообщение kotyara » 2007-12-08 2:11:48

Ну до кучи забыл сказать кто собстно был тот зверь который упоминался выше.
Это спамовый руткит известный под названиями:

Антивирус Kaspersky AntiVirus:
файл %name%.exe (вредоносный winlogon.exe): Trojan.Win32.Agent.asu
файл DefLib.sys (руткит): Trojan.Win32.Agent.asu

Антивирус DrWeb:
файл %name%.exe (вредоносный winlogon.exe): Trojan.Packed.147
файл DefLib.sys (руткит): Trojan.NtRootKit.312

Антивирус BitDefender Professional:
файл %name%.exe (вредоносный winlogon.exe): Trojan.Agent.ASU
файл DefLib.sys (руткит): Trojan.Agent.ABGK