Спам замучал
#1
Опубликовано 30 Август 2010 - 12:03
#2
Опубликовано 30 Август 2010 - 12:13
#3
Опубликовано 30 Август 2010 - 13:51
#4
Опубликовано 30 Август 2010 - 13:58
или
netsh firewall set logging filelocation = %windir%\pfirewall.log maxfilesize = 8192 ENABLE
И читайте %windir%\pfirewall.log
Изменено: Герой XVI пятилетки, 30 Август 2010 - 14:01
#5
Опубликовано 30 Август 2010 - 16:17
Скорее всего у него отлючён дефалтный фаервол, раз стоит приблудина от kerio)netsh firewall set logging %windir%\pfirewall.log 8192 ENABLE
или
netsh firewall set logging filelocation = %windir%\pfirewall.log maxfilesize = 8192 ENABLE
И читайте %windir%\pfirewall.log
#6
Опубликовано 30 Август 2010 - 16:37
Я ведь правильно понял, что спам валится с какой-то машины из локальной сети?
#7
Опубликовано 31 Август 2010 - 09:07
Изменено: sawa-alex, 31 Август 2010 - 09:54
#8
Опубликовано 31 Август 2010 - 16:51
#9
Опубликовано 31 Август 2010 - 17:14
Повисела программка, все кто отсылает письма она видит, а вот как в логе опять спам появился, так wireshark ничего не увидел. а почтовик пишет - что идет отправка.... теперь что wireshark пусть внешнюю карту смотрит ? и тоже на 25 порт ?
Походу на почтовом серваке режим релея включен. Он пересылает через себя внешнюю почту. Читай мануал к нему, как эту дырку закрыть.
#10
Опубликовано 31 Август 2010 - 17:22
Прикрепленные файлы:
#11
Опубликовано 31 Август 2010 - 17:30
Галочка, отключающая релей стоит. Но все равно дыра присутствует.
Авторизация для клиентов по SMTP присутствует какая-нибудь? "POP before SMTP" например?
#12
Опубликовано 31 Август 2010 - 17:56
вложил кусочек лога винроута, чтоб сориентировать по времени...
Прикрепленные файлы:
Изменено: sawa-alex, 31 Август 2010 - 18:00
#13
Опубликовано 31 Август 2010 - 20:01
S: 250 <hms@85.21.14.22>... Sender ok
C: RCPT TO:<info@lejialighting.com>
S: 250 <info@lejialighting.com>... Recipient ok (will queue)
Либо у товарища hms слишком простой пароль, либо авторизации вообще нет...
#14
Опубликовано 31 Август 2010 - 22:36
C: MAIL FROM:<hms@85.21.14.22>
S: 250 <hms@85.21.14.22>... Sender ok
C: RCPT TO:<info@lejialighting.com>
S: 250 <info@lejialighting.com>... Recipient ok (will queue)
Либо у товарища hms слишком простой пароль, либо авторизации вообще нет...
Согласен.
P.S. в логе вайершарка много букв, не осилил. надо было фильтр включить по SMTP. и развернуть пэйлоад. заодно увидел бы пароль и сделал вывод о его стойкости. Впрочем склоняюсь к мнению Руслана, что авторизации для SMTP скорее всего нет ваще...
#15
Опубликовано 01 Сентябрь 2010 - 07:26
Leshiy, заодно порулил бы компом. А то вдруг пользователи совпадают. RDP ведь открыт.заодно увидел бы пароль и сделал вывод о его стойкости.
#16
Опубликовано 01 Сентябрь 2010 - 08:25
да RDP открыт. к сожалению там так надо )))RDP ведь открыт.
#17
Опубликовано 01 Сентябрь 2010 - 10:41
почтовый аккаунт заблокируй покамест.да RDP открыт. к сожалению там так надо )))
и порты прикрой, а то их что-то много открыто. и порт 19780 мне особенно не нравится)
голый комп с винХР и с 11 открытыми портами в инете, это 5 баллов.)
Изменено: Leshiy, 01 Сентябрь 2010 - 10:52
#18
Опубликовано 01 Сентябрь 2010 - 11:00
и порты прикрой, а то их что-то много открыто. и порт 19780 мне особенно не нравится)
голый комп с винХР и с 11 открытыми портами в инете, это 5 баллов.)
засмушали парня)))
#19
Опубликовано 01 Сентябрь 2010 - 12:14
Чо засмущали? его уже протроянили походу, тут не до смущения.засмушали парня)))
Вот и повод подумать о безопасности.
#20
Опубликовано 01 Сентябрь 2010 - 12:44
Изменено: sawa-alex, 01 Сентябрь 2010 - 13:18
#21
Опубликовано 01 Сентябрь 2010 - 15:15
леха завязывай качать порнуху, до добра не доведёт)))комп временный ) жить ему еще недельку - 2.
#22
Опубликовано 01 Сентябрь 2010 - 15:20
1 пользователей читают эту тему
0 пользователей, 1 гостей, 0 невидимых