21 replies to this topic

[sawa-alex]

Господа, есть такая проблема. Стоит на ХР проф. программка кейро винроут 4.2.5, работает как почтовый сервачек. все бы хорошо, но последнее время начал валится спам. от чего перекрыл нам провайдер 25 порт. в логах кейро пишет что идет спам, но откого, непонятно. (прилагаю скрин) спам идет и ночью, саму машинку проверил вирусов нет. что дальше делать ? проверить те компы что имеют учетки от почты и работают круглосуточно ? Может подскажет кто софт который смог бы вести лог и писать обращения по 25 порту ? к моему почтовику ? Был бы очень признателен.

Attached Files

•  Снимок.JPG   345.49KB   42 downloads

[Руслан]

Любой сниффер под winxp (http://yandex.ru/yan...t=сниффер winxp) на 25 порт, потом разбираться с зараженным компом.

[DAN]

iptraf

[Герой XVI пятилетки]

netsh firewall set logging %windir%\pfirewall.log 8192 ENABLE
или
netsh firewall set logging filelocation = %windir%\pfirewall.log maxfilesize = 8192 ENABLE

И читайте %windir%\pfirewall.log

Edited by Герой XVI пятилетки, 30 August 2010 - 14:01.

[alekzz]

netsh firewall set logging %windir%\pfirewall.log 8192 ENABLE
или
netsh firewall set logging filelocation = %windir%\pfirewall.log maxfilesize = 8192 ENABLE

И читайте %windir%\pfirewall.log

Скорее всего у него отлючён дефалтный фаервол, раз стоит приблудина от kerio)

[Leshiy]

На машине с керио вешается wireshark на внутренний интерфейс и зараженный комп вычисляется "на раз" по количеству попыток подключения по 25 порту в единицу времени. далее :nunu:
Я ведь правильно понял, что спам валится с какой-то машины из локальной сети?

[sawa-alex]

спасибо ща попробуем ), фильтр поставил, удочку закинул.... ждем.

Edited by sawa-alex, 31 August 2010 - 09:54.

[sawa-alex]

Повисела программка, все кто отсылает письма она видит, а вот как в логе опять спам появился, так wireshark ничего не увидел. а почтовик пишет - что идет отправка.... теперь что wireshark пусть внешнюю карту смотрит ? и тоже на 25 порт ?

[Leshiy]

Повисела программка, все кто отсылает письма она видит, а вот как в логе опять спам появился, так wireshark ничего не увидел. а почтовик пишет - что идет отправка.... теперь что wireshark пусть внешнюю карту смотрит ? и тоже на 25 порт ?

Походу на почтовом серваке режим релея включен. Он пересылает через себя внешнюю почту. Читай мануал к нему, как эту дырку закрыть.

[sawa-alex]

вот нехитрые настройки сервака.

Attached Files

•  1.JPG   41KB   8 downloads
•  2.JPG   31.63KB   6 downloads
•  3.JPG   58.7KB   7 downloads
•  4.JPG   48.04KB   5 downloads
•  5.JPG   47.01KB   5 downloads
•  6.JPG   50.1KB   7 downloads

[Leshiy]

Действительно не хитрые....
Галочка, отключающая релей стоит. Но все равно дыра присутствует.
Авторизация для клиентов по SMTP присутствует какая-нибудь? "POP before SMTP" например?

[sawa-alex]

http://narod.ru/disk...00/log.txt.html вот смотри лог проги твоей настроенной на просмотр 25 порта с карты что смотрит в инет.... где-то с 140 строки начинается..........

вложил кусочек лога винроута, чтоб сориентировать по времени...

Attached Files

•  33.JPG   100.97KB   9 downloads

Edited by sawa-alex, 31 August 2010 - 18:00.

[Руслан]

C: MAIL FROM:<hms@85.21.14.22>
S: 250 <hms@85.21.14.22>... Sender ok
C: RCPT TO:<info@lejialighting.com>
S: 250 <info@lejialighting.com>... Recipient ok (will queue)

Либо у товарища hms слишком простой пароль, либо авторизации вообще нет...

[Leshiy]

C: MAIL FROM:<hms@85.21.14.22>
S: 250 <hms@85.21.14.22>... Sender ok
C: RCPT TO:<info@lejialighting.com>
S: 250 <info@lejialighting.com>... Recipient ok (will queue)

Либо у товарища hms слишком простой пароль, либо авторизации вообще нет...

Согласен.

P.S. в логе вайершарка много букв, не осилил. надо было фильтр включить по SMTP. и развернуть пэйлоад. заодно увидел бы пароль и сделал вывод о его стойкости. Впрочем склоняюсь к мнению Руслана, что авторизации для SMTP скорее всего нет ваще...

[Герой XVI пятилетки]

заодно увидел бы пароль и сделал вывод о его стойкости.

Leshiy, заодно порулил бы компом. А то вдруг пользователи совпадают. RDP ведь открыт.

[sawa-alex]

RDP ведь открыт.

да RDP открыт. к сожалению там так надо )))

[Leshiy]

да RDP открыт. к сожалению там так надо )))

почтовый аккаунт заблокируй покамест.
и порты прикрой, а то их что-то много открыто. и порт 19780 мне особенно не нравится)
голый комп с винХР и с 11 открытыми портами в инете, это 5 баллов.)

Edited by Leshiy, 01 September 2010 - 10:52.

[alekzz]

и порты прикрой, а то их что-то много открыто. и порт 19780 мне особенно не нравится)
голый комп с винХР и с 11 открытыми портами в инете, это 5 баллов.)

засмушали парня)))

[Leshiy]

засмушали парня)))

Чо засмущали? его уже протроянили походу, тут не до смущения.
Вот и повод подумать о безопасности.

[sawa-alex]

комп временный ) жить ему еще недельку - 2.

Edited by sawa-alex, 01 September 2010 - 13:18.

[alekzz]

комп временный ) жить ему еще недельку - 2.

леха завязывай качать порнуху, до добра не доведёт)))

[sawa-alex]

закрою )