Спам замучал
#1
Posted 30 August 2010 - 12:03
#2
Posted 30 August 2010 - 12:13
#3
Posted 30 August 2010 - 13:51
#4
Posted 30 August 2010 - 13:58
или
netsh firewall set logging filelocation = %windir%\pfirewall.log maxfilesize = 8192 ENABLE
И читайте %windir%\pfirewall.log
Edited by Герой XVI пятилетки, 30 August 2010 - 14:01.
#5
Posted 30 August 2010 - 16:17
Скорее всего у него отлючён дефалтный фаервол, раз стоит приблудина от kerio)netsh firewall set logging %windir%\pfirewall.log 8192 ENABLE
или
netsh firewall set logging filelocation = %windir%\pfirewall.log maxfilesize = 8192 ENABLE
И читайте %windir%\pfirewall.log
#6
Posted 30 August 2010 - 16:37
Я ведь правильно понял, что спам валится с какой-то машины из локальной сети?
#7
Posted 31 August 2010 - 09:07
Edited by sawa-alex, 31 August 2010 - 09:54.
#8
Posted 31 August 2010 - 16:51
#9
Posted 31 August 2010 - 17:14
Повисела программка, все кто отсылает письма она видит, а вот как в логе опять спам появился, так wireshark ничего не увидел. а почтовик пишет - что идет отправка.... теперь что wireshark пусть внешнюю карту смотрит ? и тоже на 25 порт ?
Походу на почтовом серваке режим релея включен. Он пересылает через себя внешнюю почту. Читай мануал к нему, как эту дырку закрыть.
#10
Posted 31 August 2010 - 17:22
Attached Files
#11
Posted 31 August 2010 - 17:30
Галочка, отключающая релей стоит. Но все равно дыра присутствует.
Авторизация для клиентов по SMTP присутствует какая-нибудь? "POP before SMTP" например?
#12
Posted 31 August 2010 - 17:56
вложил кусочек лога винроута, чтоб сориентировать по времени...
Attached Files
Edited by sawa-alex, 31 August 2010 - 18:00.
#13
Posted 31 August 2010 - 20:01
S: 250 <hms@85.21.14.22>... Sender ok
C: RCPT TO:<info@lejialighting.com>
S: 250 <info@lejialighting.com>... Recipient ok (will queue)
Либо у товарища hms слишком простой пароль, либо авторизации вообще нет...
#14
Posted 31 August 2010 - 22:36
C: MAIL FROM:<hms@85.21.14.22>
S: 250 <hms@85.21.14.22>... Sender ok
C: RCPT TO:<info@lejialighting.com>
S: 250 <info@lejialighting.com>... Recipient ok (will queue)
Либо у товарища hms слишком простой пароль, либо авторизации вообще нет...
Согласен.
P.S. в логе вайершарка много букв, не осилил. надо было фильтр включить по SMTP. и развернуть пэйлоад. заодно увидел бы пароль и сделал вывод о его стойкости. Впрочем склоняюсь к мнению Руслана, что авторизации для SMTP скорее всего нет ваще...
#15
Posted 01 September 2010 - 07:26
Leshiy, заодно порулил бы компом. А то вдруг пользователи совпадают. RDP ведь открыт.заодно увидел бы пароль и сделал вывод о его стойкости.
#16
Posted 01 September 2010 - 08:25
да RDP открыт. к сожалению там так надо )))RDP ведь открыт.
#17
Posted 01 September 2010 - 10:41
почтовый аккаунт заблокируй покамест.да RDP открыт. к сожалению там так надо )))
и порты прикрой, а то их что-то много открыто. и порт 19780 мне особенно не нравится)
голый комп с винХР и с 11 открытыми портами в инете, это 5 баллов.)
Edited by Leshiy, 01 September 2010 - 10:52.
#18
Posted 01 September 2010 - 11:00
и порты прикрой, а то их что-то много открыто. и порт 19780 мне особенно не нравится)
голый комп с винХР и с 11 открытыми портами в инете, это 5 баллов.)
засмушали парня)))
#19
Posted 01 September 2010 - 12:14
Чо засмущали? его уже протроянили походу, тут не до смущения.засмушали парня)))
Вот и повод подумать о безопасности.
#20
Posted 01 September 2010 - 12:44
Edited by sawa-alex, 01 September 2010 - 13:18.
#21
Posted 01 September 2010 - 15:15
леха завязывай качать порнуху, до добра не доведёт)))комп временный ) жить ему еще недельку - 2.
#22
Posted 01 September 2010 - 15:20
1 user(s) are reading this topic
0 members, 1 guests, 0 anonymous users