Почтовый троян в обход SMTP сервера

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
SergeyX
проходил мимо

Почтовый троян в обход SMTP сервера

Непрочитанное сообщение SergeyX » 2008-06-12 14:24:47

подскажите методы борьбы с оным. Судя по всему троян с какой-то локальной машины шлет спам в обход SMTP сервера. Как отследить какая машина шлет эту гадость и как предотвратить такое в дальнейшем средствами сервера.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Почтовый троян в обход SMTP сервера

Непрочитанное сообщение paradox » 2008-06-12 14:48:44

tcpdump по tcp 25 порту
найти ip и либо отключить машину
либо запретить ее на фаерволе

Аватара пользователя
proxyd
мл. сержант
Сообщения: 84
Зарегистрирован: 2008-03-06 15:03:37

Re: Почтовый троян в обход SMTP сервера

Непрочитанное сообщение proxyd » 2008-06-12 19:52:18

Ну если у Вас весь трафик ходит через FreeBSD шлюз, отследить можно попробовать такой штукой как trafshow. Она доступна из портов. Чобы запретить SMTP трафик то без фарвола не обойтись, в нем Вы разрешите пересылку почты только с вашего сервера и запретите это делать с других машин.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Почтовый троян в обход SMTP сервера

Непрочитанное сообщение princeps » 2008-06-13 9:10:09

ipfw show
pfctl -s rules -v
:)
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Гость
проходил мимо

Re: Почтовый троян в обход SMTP сервера

Непрочитанное сообщение Гость » 2008-10-11 23:36:31

у меня просто прописано правило для ipfw

Код: Выделить всё

ipfw add 00010  deny log logamount 100 tcp from 192.168.0.0/16 to not 192.168.1.1 dst-port 25 via rl0
результат в /varlog/security типа
Jan 10 09:30:53 main kernel: ipfw: 10 Deny TCP 192.168.14.3:48075 65.254.254.53:25 in via rl0

Сразу видно - к какому компьютеру надо идти...

galaxer
рядовой
Сообщения: 29
Зарегистрирован: 2008-06-21 18:43:13
Откуда: Moscow
Контактная информация:

Re: Почтовый троян в обход SMTP сервера

Непрочитанное сообщение galaxer » 2008-10-12 20:04:44

можно жестко правила прописать на определенные серваки:

Код: Выделить всё

ipfw add allow tcp from 192.168.0.0/24 to smtp.rambler.ru setup keep-state
galaxer