Помогите понять проблему.

[InventoR]

Народ помогите понять проблему:
удалено

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

вирус из твоей сети рассылает спам.
1) закрыть 25-й порт наружу всем, кроме тех, кому надо.
2) поставить везде нормальный, по возможности лицензионный антивирус и обновить базы.

[princeps]

Или открытый релей на почтовике Помнится, давным-давно была у меня такая проблема на MS Exchange. Пока разобрался, где там нужную птицу поставить, не вылазил из блэк-листов.

[InventoR]

ребят. вся проблема в том что вируса я не рассылаю и в логах ничего такого нету.
и openrelay я тоже не поддержую.
а вот почта блокируется.

[dikens3]

вся проблема в том что вируса я не рассылаю

spamcop так не считает. Скорее всего вирус у тебя в сети рассылает спам.

Займись переводом строки:

Код: Выделить всё

System has sent mail to SpamCop spam traps in the past week (spam traps are secret, no reports or evidence are provided by SpamCop)

[princeps]

и в логах ничего такого нету.

А ты хочешь, чтоб вирус тебе еще и в логи записался? Ты какие логи смотришь?

[InventoR]

в общем в логах ничего особенного нету.
но зато куча записей. о том что мой сервер отбил неизвестные письма.
что за. хрень. не пойму.
запретил в сети 25 порт.
и сделал на него log logamount 10000. дабы видеть все.

[princeps]

в общем в логах ничего особенного нету.
но зато куча записей. о том что мой сервер отбил неизвестные письма.

Если ты смотришь логи почтового сервера, то ты там ничего не увидишь. Вирус сам напрямую через шлюз рассылает свой спам через протокол smtp. Тебе надо логи шлюза смотреть - с каких компов прет трафик по 25 порту наружу. Должен быть только с почтовика.

[InventoR]

трафик по smtp за сегодня 3мегабайта. за неделю 23мега.
думаю тут какая-то другая зараза. хотя кто его знает. ладно буду дальше отслеживать.
может все таки что-то и поймаю.

[princeps]

Да другой вроде не может быть. Тебе написали, что с твоего адреса пришло письмо на спамтрэп спамкоповский. Спамтрэп не виден обычным юзерам - его только спамботы собирают. Т.е., соответственно, никакой человек из твоей сети послать такое письмо не мог, а только вирь.

трафик по smtp за сегодня 3мегабайта. за неделю 23мега.

Это входящий или исходящий? Тебе-то надо исходящий.

может все таки что-то и поймаю.

Посмотри, с каких компьютеров есть исходящий трафик по smtp - 25 порту. На них и лови заразу. Не проще все-таки антивирус обновить?

[neptunix]

Не проще все-таки антивирус обновить?

Или зарубить 25 порт на выход для всех

[InventoR]

Не проще все-таки антивирус обновить?

лицензионный каспер на всю сетку, контролируется с сервера, там ничего не обнаружено.
25 уже рубанул.
всех пользователей для отправки писем. заставил проходить авторизацию.
исходящий это smtp. он же 25 порт. в системе учета трафика на базе netams критического обьема не обнаруженно.

[cyrus_user]

однако оставь на сутки на роутере торчащим в инет слежение за локальными сетями:
tcpdump -ni eth0 tcp and dst port 25 and not dst net <твоя реальная сеть> and not src host <ip твоего почтовика> -w 25.port
анализируй, кто болен, если файл 25.port не пустой

ещё возможно, что на твоём web сервере сломали например php и делают рассылку с него.. а ты и не замечаешь, особенно когда web сервер ещё и заодно и роутер в инет.. тогда полный tcpdump на сутки и тщательный анализ

[InventoR]

Ребят спасибо. но методы простейшие методы борьбы мне знакомы.
В сети был найден паразитирующий компьютер, на нем установлен лицензионный касперский workstation, который ничего не находит.
В открытых портах netstat -a был обнаружен процесс отправляющий письма.
Остается оторвать пятую точку от стула и пойти поглядеть чо там у пользователя происходит.
Теперь будет мне урок, поднимаешь свой почтовик, закрывай в сетке 25 порт.

[princeps]

В сети был найден паразитирующий компьютер, на нем установлен лицензионный касперский workstation, который ничего не находит.

Наверное, какой-то сверхновый вирь. Или сверхумный юзер.

Остается оторвать пятую точку от стула и пойти поглядеть чо там у пользователя происходит.

Паяльник и монтировку захвати

[Alex Keda]

2 тредстартер.
не надо удалять топики которые обсуждаются.
а то запрещу редактировать сообщения на которые есть ответы.