Помогите понять проблему.
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Помогите понять проблему.
Народ помогите понять проблему:
удалено
удалено
Последний раз редактировалось InventoR 2008-05-14 9:33:25, всего редактировалось 1 раз.
ну вот и сказочке конец, кто слушал, тот молодец.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Помогите понять проблему.
вирус из твоей сети рассылает спам.
1) закрыть 25-й порт наружу всем, кроме тех, кому надо.
2) поставить везде нормальный, по возможности лицензионный антивирус и обновить базы.
1) закрыть 25-й порт наружу всем, кроме тех, кому надо.
2) поставить везде нормальный, по возможности лицензионный антивирус и обновить базы.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Помогите понять проблему.
Или открытый релей на почтовике Помнится, давным-давно была у меня такая проблема на MS Exchange. Пока разобрался, где там нужную птицу поставить, не вылазил из блэк-листов.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Помогите понять проблему.
ребят. вся проблема в том что вируса я не рассылаю и в логах ничего такого нету.
и openrelay я тоже не поддержую.
а вот почта блокируется.
и openrelay я тоже не поддержую.
а вот почта блокируется.
ну вот и сказочке конец, кто слушал, тот молодец.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Помогите понять проблему.
spamcop так не считает. Скорее всего вирус у тебя в сети рассылает спам.вся проблема в том что вируса я не рассылаю
Займись переводом строки:
Код: Выделить всё
System has sent mail to SpamCop spam traps in the past week (spam traps are secret, no reports or evidence are provided by SpamCop)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Помогите понять проблему.
А ты хочешь, чтоб вирус тебе еще и в логи записался? Ты какие логи смотришь?NarkomanLove писал(а):и в логах ничего такого нету.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Помогите понять проблему.
в общем в логах ничего особенного нету.
но зато куча записей. о том что мой сервер отбил неизвестные письма.
что за. хрень. не пойму.
запретил в сети 25 порт.
и сделал на него log logamount 10000. дабы видеть все.
но зато куча записей. о том что мой сервер отбил неизвестные письма.
что за. хрень. не пойму.
запретил в сети 25 порт.
и сделал на него log logamount 10000. дабы видеть все.
ну вот и сказочке конец, кто слушал, тот молодец.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Помогите понять проблему.
Если ты смотришь логи почтового сервера, то ты там ничего не увидишь. Вирус сам напрямую через шлюз рассылает свой спам через протокол smtp. Тебе надо логи шлюза смотреть - с каких компов прет трафик по 25 порту наружу. Должен быть только с почтовика.NarkomanLove писал(а):в общем в логах ничего особенного нету.
но зато куча записей. о том что мой сервер отбил неизвестные письма.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Помогите понять проблему.
трафик по smtp за сегодня 3мегабайта. за неделю 23мега.
думаю тут какая-то другая зараза. хотя кто его знает. ладно буду дальше отслеживать.
может все таки что-то и поймаю.
думаю тут какая-то другая зараза. хотя кто его знает. ладно буду дальше отслеживать.
может все таки что-то и поймаю.
ну вот и сказочке конец, кто слушал, тот молодец.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Помогите понять проблему.
Да другой вроде не может быть. Тебе написали, что с твоего адреса пришло письмо на спамтрэп спамкоповский. Спамтрэп не виден обычным юзерам - его только спамботы собирают. Т.е., соответственно, никакой человек из твоей сети послать такое письмо не мог, а только вирь.
Это входящий или исходящий? Тебе-то надо исходящий.NarkomanLove писал(а):трафик по smtp за сегодня 3мегабайта. за неделю 23мега.
Посмотри, с каких компьютеров есть исходящий трафик по smtp - 25 порту. На них и лови заразу. Не проще все-таки антивирус обновить?NarkomanLove писал(а):может все таки что-то и поймаю.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
-
- рядовой
- Сообщения: 19
- Зарегистрирован: 2008-05-06 14:12:52
Re: Помогите понять проблему.
Или зарубить 25 порт на выход для всехprinceps писал(а):Не проще все-таки антивирус обновить?
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Помогите понять проблему.
лицензионный каспер на всю сетку, контролируется с сервера, там ничего не обнаружено.princeps писал(а):Не проще все-таки антивирус обновить?
25 уже рубанул.
всех пользователей для отправки писем. заставил проходить авторизацию.
исходящий это smtp. он же 25 порт. в системе учета трафика на базе netams критического обьема не обнаруженно.
ну вот и сказочке конец, кто слушал, тот молодец.
-
- сержант
- Сообщения: 181
- Зарегистрирован: 2007-04-24 12:16:36
Re: Помогите понять проблему.
однако оставь на сутки на роутере торчащим в инет слежение за локальными сетями:
tcpdump -ni eth0 tcp and dst port 25 and not dst net <твоя реальная сеть> and not src host <ip твоего почтовика> -w 25.port
анализируй, кто болен, если файл 25.port не пустой
ещё возможно, что на твоём web сервере сломали например php и делают рассылку с него.. а ты и не замечаешь, особенно когда web сервер ещё и заодно и роутер в инет.. тогда полный tcpdump на сутки и тщательный анализ
tcpdump -ni eth0 tcp and dst port 25 and not dst net <твоя реальная сеть> and not src host <ip твоего почтовика> -w 25.port
анализируй, кто болен, если файл 25.port не пустой
ещё возможно, что на твоём web сервере сломали например php и делают рассылку с него.. а ты и не замечаешь, особенно когда web сервер ещё и заодно и роутер в инет.. тогда полный tcpdump на сутки и тщательный анализ
В НЛО не верю, но верю, что где-то до сих пор вымирают динозавры, bsd, птеродактили, мамонты.
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Помогите понять проблему.
Ребят спасибо. но методы простейшие методы борьбы мне знакомы.
В сети был найден паразитирующий компьютер, на нем установлен лицензионный касперский workstation, который ничего не находит.
В открытых портах netstat -a был обнаружен процесс отправляющий письма.
Остается оторвать пятую точку от стула и пойти поглядеть чо там у пользователя происходит.
Теперь будет мне урок, поднимаешь свой почтовик, закрывай в сетке 25 порт.
В сети был найден паразитирующий компьютер, на нем установлен лицензионный касперский workstation, который ничего не находит.
В открытых портах netstat -a был обнаружен процесс отправляющий письма.
Остается оторвать пятую точку от стула и пойти поглядеть чо там у пользователя происходит.
Теперь будет мне урок, поднимаешь свой почтовик, закрывай в сетке 25 порт.
ну вот и сказочке конец, кто слушал, тот молодец.
-
- майор
- Сообщения: 2684
- Зарегистрирован: 2007-09-25 10:20:59
- Откуда: Сочи, Москва
- Контактная информация:
Re: Помогите понять проблему.
Наверное, какой-то сверхновый вирь. Или сверхумный юзер.NarkomanLove писал(а):В сети был найден паразитирующий компьютер, на нем установлен лицензионный касперский workstation, который ничего не находит.
Паяльник и монтировку захватиNarkomanLove писал(а):Остается оторвать пятую точку от стула и пойти поглядеть чо там у пользователя происходит.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru
http://www.itforum-sochi.ru
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Помогите понять проблему.
2 тредстартер.
не надо удалять топики которые обсуждаются.
а то запрещу редактировать сообщения на которые есть ответы.
не надо удалять топики которые обсуждаются.
а то запрещу редактировать сообщения на которые есть ответы.
Убей их всех! Бог потом рассортирует...