BSDPORTAL.RU
http://bsdportal.ru/

Помогите найти заразу!
http://bsdportal.ru/viewtopic.php?f=23&t=12494
Страница 1 из 1

Автор:  Sith [ Ср 17 янв, 2007 11:49 am ]
Заголовок сообщения:  Помогите найти заразу!

Ситуация на сахар. Провайдер закрыл 25 порт из за того что от нас идет спам, поэтому почта не пашет .

Топология сети :

Шлюз+Прокси(FreeBSD 5.3) <-> NAT+Sendmail (FreeBSD 6.1) <-> Виндовая сеть

Как выцепить того кто спамит через 25 порт. HELP!!!

Автор:  shurik [ Ср 17 янв, 2007 2:15 pm ]
Заголовок сообщения: 

Могу предложить два варианта:
1. Смотреть кто из локакала активно соединяется с миром на 25-порт, например с помощью tcpdump или trafshow
2. Заворачивать на шлюзе на 127.0.0.1:25 все соединения с миром на 25-порт и смотреть логи sendmail

Автор:  Sith [ Ср 17 янв, 2007 2:20 pm ]
Заголовок сообщения: 

tcpdump уже поставил и смотрю есть один айпи с разных портов лезет в нэт на 25 порт.

по поводу 2 го пункта можно поподробнее (зачем трафик заворачивать сам на себя?)

Автор:  shurik [ Ср 17 янв, 2007 2:38 pm ]
Заголовок сообщения: 

Почему же сам на себя? Заворачиваем весь почтовый трафик от локальных хостов на наш сервер

ipfw add fwd 127.0.0.1,25 tcp from ${lan} to any 25

В случае вирусни возрастает нагрузка на почтовик, но в логах четко видно откуда растут ноги

Автор:  sys [ Ср 17 янв, 2007 4:45 pm ]
Заголовок сообщения: 

Надо погнать эникейщика по компам с антивирусом. У кого найдет - по рукам.

Автор:  Sith [ Ср 17 янв, 2007 10:01 pm ]
Заголовок сообщения: 

провайдер посоветовал закрыть 25 порт для внутренней сети кроме доступа к почтовому серваку.

но я до сих пор торможу с правилами (см. тему ниже) может кто нибудь напрвит на правильный путь, заранее спасибо.


ЗЫ: я бывший линуксятник, вот и недопираю до конца в ipfw.

Автор:  shurik [ Чт 18 янв, 2007 11:32 am ]
Заголовок сообщения: 

ipfw add allow tcp from any to me 25
ipfw add deny tcp from 192.168.0.0/16 to any 25

Автор:  homoadminus [ Ср 24 янв, 2007 12:56 am ]
Заголовок сообщения:  Re: Помогите найти заразу!

Sith писал(а):
Ситуация на сахар. Провайдер закрыл 25 порт из за того что от нас идет спам, поэтому почта не пашет .

случайно не петерстар? :)

Автор:  Sith [ Ср 24 янв, 2007 7:27 am ]
Заголовок сообщения: 

нет у нас такого, у нас Сибитекс.

Спасибо всем за советы, сейчас все нормально, за одним переписал файервол заново с нуля, блин больше паниковал ;)

Автор:  iZEN [ Чт 25 янв, 2007 2:50 am ]
Заголовок сообщения: 

Сейчас просканировал 127.0.0.1 (свою домашнюю тачку), обнаружил, что открыт 25 порт (smtp).
sendmail явно выключен в /etc/rc.conf

Что бы это значило? :?:

Автор:  Iggy Rain [ Чт 25 янв, 2007 10:26 am ]
Заголовок сообщения: 

ps ax | grep sendmail

развеют или подтвердят домыслы

Автор:  grayich [ Чт 25 янв, 2007 11:01 am ]
Заголовок сообщения: 

sockstat -4



з.ы.
кто возьмется составить top100 команд которые нужно знать всем ?
:roll:

Автор:  iZEN [ Чт 25 янв, 2007 7:25 pm ]
Заголовок сообщения: 

Iggy Rain писал(а):
ps ax | grep sendmail

развеют или подтвердят домыслы
Вот:
Код:
ps ax | grep sendmail
  498  ??  Ss     0:00,10 sendmail: accepting connections (sendmail)
  502  ??  Is     0:00,00 sendmail: Queue runner@00:30:00 for /var/spool/client
Почему? :?:

Автор:  shurik [ Чт 25 янв, 2007 7:32 pm ]
Заголовок сообщения: 

/etc/defaults/rc.conf:

sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO).
sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission

Автор:  iZEN [ Чт 25 янв, 2007 7:42 pm ]
Заголовок сообщения: 

shurik писал(а):
/etc/defaults/rc.conf:

sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO).
sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission
Это всё есть.

В другом файле, в /etc/rc.conf записано:
Код:
sendmail_enable="NO"
sendmail_outbound_enable="NO"
Ы?
Думаете, стоит в /etc/rc.conf дописать:
Код:
sendmail_submit_enable="NO"
и тогда 25 порт не будет открываться? :?:

Автор:  shurik [ Чт 25 янв, 2007 7:54 pm ]
Заголовок сообщения: 

Изучаем /etc/rc.d/sendmail
Чтобы отключить sendmail надо в /etc/rc.conf:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

или гораздо проще - одной строчкой:
sendmail_enable="NONE"

Вот и всё
#killall sendmail
#/etc/rc.d/sendmail start
#ps ax|grep sendmail
:)

Автор:  iZEN [ Чт 25 янв, 2007 8:03 pm ]
Заголовок сообщения: 

shurik писал(а):
Изучаем /etc/rc.d/sendmail
Чтобы отключить sendmail надо в /etc/rc.conf:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

или гораздо проще - одной строчкой:
sendmail_enable="NONE"

Вот и всё
Спасибо. Попробую.
shurik писал(а):
#killall sendmail
:)
Это уже сделано. 8)

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/