BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 17 ] 
Автор Сообщение
 Заголовок сообщения: Помогите найти заразу!
СообщениеДобавлено: Ср 17 янв, 2007 11:49 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 сен, 2004 6:30 am
Сообщения: 43
Откуда: Tyumen,Russia
Ситуация на сахар. Провайдер закрыл 25 порт из за того что от нас идет спам, поэтому почта не пашет .

Топология сети :

Шлюз+Прокси(FreeBSD 5.3) <-> NAT+Sendmail (FreeBSD 6.1) <-> Виндовая сеть

Как выцепить того кто спамит через 25 порт. HELP!!!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 2:15 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
Могу предложить два варианта:
1. Смотреть кто из локакала активно соединяется с миром на 25-порт, например с помощью tcpdump или trafshow
2. Заворачивать на шлюзе на 127.0.0.1:25 все соединения с миром на 25-порт и смотреть логи sendmail


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 2:20 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 сен, 2004 6:30 am
Сообщения: 43
Откуда: Tyumen,Russia
tcpdump уже поставил и смотрю есть один айпи с разных портов лезет в нэт на 25 порт.

по поводу 2 го пункта можно поподробнее (зачем трафик заворачивать сам на себя?)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 2:38 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
Почему же сам на себя? Заворачиваем весь почтовый трафик от локальных хостов на наш сервер

ipfw add fwd 127.0.0.1,25 tcp from ${lan} to any 25

В случае вирусни возрастает нагрузка на почтовик, но в логах четко видно откуда растут ноги


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 4:45 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3960
Откуда: Россия, Ростов-на-Дону
Надо погнать эникейщика по компам с антивирусом. У кого найдет - по рукам.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 янв, 2007 10:01 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 сен, 2004 6:30 am
Сообщения: 43
Откуда: Tyumen,Russia
провайдер посоветовал закрыть 25 порт для внутренней сети кроме доступа к почтовому серваку.

но я до сих пор торможу с правилами (см. тему ниже) может кто нибудь напрвит на правильный путь, заранее спасибо.


ЗЫ: я бывший линуксятник, вот и недопираю до конца в ipfw.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 18 янв, 2007 11:32 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
ipfw add allow tcp from any to me 25
ipfw add deny tcp from 192.168.0.0/16 to any 25


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Помогите найти заразу!
СообщениеДобавлено: Ср 24 янв, 2007 12:56 am 
Не в сети

Зарегистрирован: Вт 02 янв, 2007 8:20 pm
Сообщения: 137
Откуда: SPb
Sith писал(а):
Ситуация на сахар. Провайдер закрыл 25 порт из за того что от нас идет спам, поэтому почта не пашет .

случайно не петерстар? :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 24 янв, 2007 7:27 am 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 23 сен, 2004 6:30 am
Сообщения: 43
Откуда: Tyumen,Russia
нет у нас такого, у нас Сибитекс.

Спасибо всем за советы, сейчас все нормально, за одним переписал файервол заново с нуля, блин больше паниковал ;)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 2:50 am 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
Сейчас просканировал 127.0.0.1 (свою домашнюю тачку), обнаружил, что открыт 25 порт (smtp).
sendmail явно выключен в /etc/rc.conf

Что бы это значило? :?:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 10:26 am 
Не в сети
Аватара пользователя

Зарегистрирован: Сб 19 авг, 2006 5:24 pm
Сообщения: 707
Откуда: Харьков
ps ax | grep sendmail

развеют или подтвердят домыслы


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 11:01 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3320
Откуда: Харьков
sockstat -4



з.ы.
кто возьмется составить top100 команд которые нужно знать всем ?
:roll:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 7:25 pm 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
Iggy Rain писал(а):
ps ax | grep sendmail

развеют или подтвердят домыслы
Вот:
Код:
ps ax | grep sendmail
  498  ??  Ss     0:00,10 sendmail: accepting connections (sendmail)
  502  ??  Is     0:00,00 sendmail: Queue runner@00:30:00 for /var/spool/client
Почему? :?:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 7:32 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
/etc/defaults/rc.conf:

sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO).
sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 7:42 pm 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
shurik писал(а):
/etc/defaults/rc.conf:

sendmail_enable="NO" # Run the sendmail inbound daemon (YES/NO).
sendmail_submit_enable="YES" # Start a localhost-only MTA for mail submission
Это всё есть.

В другом файле, в /etc/rc.conf записано:
Код:
sendmail_enable="NO"
sendmail_outbound_enable="NO"
Ы?
Думаете, стоит в /etc/rc.conf дописать:
Код:
sendmail_submit_enable="NO"
и тогда 25 порт не будет открываться? :?:


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 7:54 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 05 ноя, 2004 8:02 pm
Сообщения: 229
Откуда: Kiev
Изучаем /etc/rc.d/sendmail
Чтобы отключить sendmail надо в /etc/rc.conf:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

или гораздо проще - одной строчкой:
sendmail_enable="NONE"

Вот и всё
#killall sendmail
#/etc/rc.d/sendmail start
#ps ax|grep sendmail
:)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 25 янв, 2007 8:03 pm 
Не в сети

Зарегистрирован: Сб 17 июн, 2006 2:02 am
Сообщения: 538
shurik писал(а):
Изучаем /etc/rc.d/sendmail
Чтобы отключить sendmail надо в /etc/rc.conf:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

или гораздо проще - одной строчкой:
sendmail_enable="NONE"

Вот и всё
Спасибо. Попробую.
shurik писал(а):
#killall sendmail
:)
Это уже сделано. 8)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 17 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика