21 ответов в теме

[sawa-alex]

Господа, есть такая проблема. Стоит на ХР проф. программка кейро винроут 4.2.5, работает как почтовый сервачек. все бы хорошо, но последнее время начал валится спам. от чего перекрыл нам провайдер 25 порт. в логах кейро пишет что идет спам, но откого, непонятно. (прилагаю скрин) спам идет и ночью, саму машинку проверил вирусов нет. что дальше делать ? проверить те компы что имеют учетки от почты и работают круглосуточно ? Может подскажет кто софт который смог бы вести лог и писать обращения по 25 порту ? к моему почтовику ? Был бы очень признателен.

Прикрепленные файлы:

•  Снимок.JPG   345,49 Кб   42 раз скачано

[Руслан]

Любой сниффер под winxp (http://yandex.ru/yan...t=сниффер winxp) на 25 порт, потом разбираться с зараженным компом.

[DAN]

iptraf

[Герой XVI пятилетки]

netsh firewall set logging %windir%\pfirewall.log 8192 ENABLE
или
netsh firewall set logging filelocation = %windir%\pfirewall.log maxfilesize = 8192 ENABLE

И читайте %windir%\pfirewall.log

Изменено: Герой XVI пятилетки, 30 Август 2010 - 14:01

[alekzz]

netsh firewall set logging %windir%\pfirewall.log 8192 ENABLE
или
netsh firewall set logging filelocation = %windir%\pfirewall.log maxfilesize = 8192 ENABLE

И читайте %windir%\pfirewall.log

Скорее всего у него отлючён дефалтный фаервол, раз стоит приблудина от kerio)

[Leshiy]

На машине с керио вешается wireshark на внутренний интерфейс и зараженный комп вычисляется "на раз" по количеству попыток подключения по 25 порту в единицу времени. далее :nunu:
Я ведь правильно понял, что спам валится с какой-то машины из локальной сети?

[sawa-alex]

спасибо ща попробуем ), фильтр поставил, удочку закинул.... ждем.

Изменено: sawa-alex, 31 Август 2010 - 09:54

[sawa-alex]

Повисела программка, все кто отсылает письма она видит, а вот как в логе опять спам появился, так wireshark ничего не увидел. а почтовик пишет - что идет отправка.... теперь что wireshark пусть внешнюю карту смотрит ? и тоже на 25 порт ?

[Leshiy]

Повисела программка, все кто отсылает письма она видит, а вот как в логе опять спам появился, так wireshark ничего не увидел. а почтовик пишет - что идет отправка.... теперь что wireshark пусть внешнюю карту смотрит ? и тоже на 25 порт ?

Походу на почтовом серваке режим релея включен. Он пересылает через себя внешнюю почту. Читай мануал к нему, как эту дырку закрыть.

[sawa-alex]

вот нехитрые настройки сервака.

Прикрепленные файлы:

•  1.JPG   41 Кб   8 раз скачано
•  2.JPG   31,63 Кб   6 раз скачано
•  3.JPG   58,7 Кб   7 раз скачано
•  4.JPG   48,04 Кб   5 раз скачано
•  5.JPG   47,01 Кб   5 раз скачано
•  6.JPG   50,1 Кб   7 раз скачано

[Leshiy]

Действительно не хитрые....
Галочка, отключающая релей стоит. Но все равно дыра присутствует.
Авторизация для клиентов по SMTP присутствует какая-нибудь? "POP before SMTP" например?

[sawa-alex]

http://narod.ru/disk...00/log.txt.html вот смотри лог проги твоей настроенной на просмотр 25 порта с карты что смотрит в инет.... где-то с 140 строки начинается..........

вложил кусочек лога винроута, чтоб сориентировать по времени...

Прикрепленные файлы:

•  33.JPG   100,97 Кб   9 раз скачано

Изменено: sawa-alex, 31 Август 2010 - 18:00

[Руслан]

C: MAIL FROM:<hms@85.21.14.22>
S: 250 <hms@85.21.14.22>... Sender ok
C: RCPT TO:<info@lejialighting.com>
S: 250 <info@lejialighting.com>... Recipient ok (will queue)

Либо у товарища hms слишком простой пароль, либо авторизации вообще нет...

[Leshiy]

C: MAIL FROM:<hms@85.21.14.22>
S: 250 <hms@85.21.14.22>... Sender ok
C: RCPT TO:<info@lejialighting.com>
S: 250 <info@lejialighting.com>... Recipient ok (will queue)

Либо у товарища hms слишком простой пароль, либо авторизации вообще нет...

Согласен.

P.S. в логе вайершарка много букв, не осилил. надо было фильтр включить по SMTP. и развернуть пэйлоад. заодно увидел бы пароль и сделал вывод о его стойкости. Впрочем склоняюсь к мнению Руслана, что авторизации для SMTP скорее всего нет ваще...

[Герой XVI пятилетки]

заодно увидел бы пароль и сделал вывод о его стойкости.

Leshiy, заодно порулил бы компом. А то вдруг пользователи совпадают. RDP ведь открыт.

[sawa-alex]

RDP ведь открыт.

да RDP открыт. к сожалению там так надо )))

[Leshiy]

да RDP открыт. к сожалению там так надо )))

почтовый аккаунт заблокируй покамест.
и порты прикрой, а то их что-то много открыто. и порт 19780 мне особенно не нравится)
голый комп с винХР и с 11 открытыми портами в инете, это 5 баллов.)

Изменено: Leshiy, 01 Сентябрь 2010 - 10:52

[alekzz]

и порты прикрой, а то их что-то много открыто. и порт 19780 мне особенно не нравится)
голый комп с винХР и с 11 открытыми портами в инете, это 5 баллов.)

засмушали парня)))

[Leshiy]

засмушали парня)))

Чо засмущали? его уже протроянили походу, тут не до смущения.
Вот и повод подумать о безопасности.

[sawa-alex]

комп временный ) жить ему еще недельку - 2.

Изменено: sawa-alex, 01 Сентябрь 2010 - 13:18

[alekzz]

комп временный ) жить ему еще недельку - 2.

леха завязывай качать порнуху, до добра не доведёт)))

[sawa-alex]

закрою )