BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 17 ] 
Автор Сообщение
 Заголовок сообщения: Помогите найти заразу!
СообщениеДобавлено: Ср 17 янв, 2007 11:49 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 сен, 2004 6:30 am
Сообщения: 43
Откуда: Tyumen,Russia
Ситуация на сахар. Провайдер закрыл 25 порт из за того что от нас идет спам, поэтому почта не пашет .

Топология сети :

Шлюз+Прокси(FreeBSD 5.3) <-> NAT+Sendmail (FreeBSD 6.1) <-> Виндовая сеть

Как выцепить того кто спамит через 25 порт. HELP!!!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 2:15 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
Могу предложить два варианта:
1. Смотреть кто из локакала активно соединяется с миром на 25-порт, например с помощью tcpdump или trafshow
2. Заворачивать на шлюзе на 127.0.0.1:25 все соединения с миром на 25-порт и смотреть логи sendmail


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 2:20 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 сен, 2004 6:30 am
Сообщения: 43
Откуда: Tyumen,Russia
tcpdump уже поставил и смотрю есть один айпи с разных портов лезет в нэт на 25 порт.

по поводу 2 го пункта можно поподробнее (зачем трафик заворачивать сам на себя?)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 2:38 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
Почему же сам на себя? Заворачиваем весь почтовый трафик от локальных хостов на наш сервер

ipfw add fwd 127.0.0.1,25 tcp from ${lan} to any 25

В случае вирусни возрастает нагрузка на почтовик, но в логах четко видно откуда растут ноги


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 4:45 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3959
Откуда: Россия, Ростов-на-Дону
Надо погнать эникейщика по компам с антивирусом. У кого найдет - по рукам.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 10:01 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 сен, 2004 6:30 am
Сообщения: 43
Откуда: Tyumen,Russia
провайдер посоветовал закрыть 25 порт для внутренней сети кроме доступа к почтовому серваку.

но я до сих пор торможу с правилами (см. тему ниже) может кто нибудь напрвит на правильный путь, заранее спасибо.


ЗЫ: я бывший линуксятник, вот и недопираю до конца в ipfw.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 18 янв, 2007 11:32 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
ipfw add allow tcp from any to me 25
ipfw add deny tcp from 192.168.0.0/16 to any 25


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Помогите найти заразу!
СообщениеДобавлено: Ср 24 янв, 2007 12:56 am 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
Sith писал(а):
Ситуация на сахар. Провайдер закрыл 25 порт из за того что от нас идет спам, поэтому почта не пашет .

случайно не петерстар? :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 24 янв, 2007 7:27 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 сен, 2004 6:30 am
Сообщения: 43
Откуда: Tyumen,Russia
нет у нас такого, у нас Сибитекс.

Спасибо всем за советы, сейчас все нормально, за одним переписал файервол заново с нуля, блин больше паниковал ;)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 2:50 am 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
Сейчас просканировал 127.0.0.1 (свою домашнюю тачку), обнаружил, что открыт 25 порт (smtp).
sendmail явно выключен в /etc/rc.conf

Что бы это значило? :?:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 10:26 am 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
ps ax | grep sendmail

развеют или подтвердят домыслы


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 11:01 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3309
Откуда: Харьков
sockstat -4



з.ы.
кто возьмется составить top100 команд которые нужно знать всем ?
:roll:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 7:25 pm 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
Iggy Rain писал(а):
ps ax | grep sendmail

развеют или подтвердят домыслы
Вот:
Код:
ps ax | grep sendmail
  498  ??  Ss     0:00,10 sendmail: accepting connections (sendmail)
  502  ??  Is     0:00,00 sendmail: Queue runner@00:30:00 for /var/spool/client
Почему? :?:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 7:32 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
/etc/defaults/rc.conf:

sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO).
sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 7:42 pm 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
shurik писал(а):
/etc/defaults/rc.conf:

sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO).
sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission
Это всё есть.

В другом файле, в /etc/rc.conf записано:
Код:
sendmail_enable="NO"
sendmail_outbound_enable="NO"
Ы?
Думаете, стоит в /etc/rc.conf дописать:
Код:
sendmail_submit_enable="NO"
и тогда 25 порт не будет открываться? :?:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 7:54 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
Изучаем /etc/rc.d/sendmail
Чтобы отключить sendmail надо в /etc/rc.conf:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

или гораздо проще - одной строчкой:
sendmail_enable="NONE"

Вот и всё
#killall sendmail
#/etc/rc.d/sendmail start
#ps ax|grep sendmail
:)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 8:03 pm 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
shurik писал(а):
Изучаем /etc/rc.d/sendmail
Чтобы отключить sendmail надо в /etc/rc.conf:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

или гораздо проще - одной строчкой:
sendmail_enable="NONE"

Вот и всё
Спасибо. Попробую.
shurik писал(а):
#killall sendmail
:)
Это уже сделано. 8)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 17 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика