3

Мой провайдер уведомил меня, что одна из моих машин рассылает спам. Это произошло около 3 месяцев назад на Windows-машине с запущенным Cygwin, который был взломан из-за SSH-уязвимости.

Хакеры настраивают IIS и SMTP. Я очистил машину, и все службы отключены, поэтому я думаю, что машина в порядке

Мне интересно, есть ли другой способ определить, с какой машины это может происходить?

ISP не имеет полезной информации, такой как порт источника, порт назначения, IP-адрес назначения ... ничего.

Я использую DD-WRT на своем маршрутизаторе, ПК с Windows 7 и ПК с Windows XP.

|источник

5 ответов5

4

Я давно не играл с DD-WRT, но на большинстве маршрутизаторов бизнес-уровня у них есть возможность записывать журнал каждый раз, когда сопоставляется правило брандмауэра.

Я хотел бы создать правило брандмауэра для порта 25 (при условии, что массовая почтовая программа использует стандартный порт SMTP) и заставить его записывать журнал с исходным IP-адресом каждый раз, когда это происходит. Тогда должно быть довольно легко найти виновника.

|источник
4

Вы можете подключить концентратор между маршрутизатором и локальной сетью, а затем подключить к нему компьютер и установить на него монитор трафика, например сетевой монитор Microsoft или проводную акулу.

http://www.wireshark.org/

После этого вы сможете отслеживать все происходящее, настраивать фильтры и т.д.

|источник
1

Я также не уверен, как отслеживать без сетевого потока или протокола SNMP. Но рекомендую вам просто ограничить исходящий SMTP-трафик на ваш почтовый сервер (ы)

Ниже предполагается, что IP-адрес почтового сервера 192.168.1.2 в сети 192.168.1.0/24 

iptables -I FORWARD 1 -p tcp -s 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD 2 -p tcp -s 192.168.1.1/24 --dport 25 -j REJECT
|источник
0

Попробуйте Wireshark - вот что наша компания предлагает людям, когда мы сообщаем им о таких проблемах:

http://frontiernet.net/~tech962/findthespambot/index.html

|источник
0

Установите монитор сети или приложение для отслеживания пакетов, чтобы увидеть, что происходит в вашей сети. Затем вы сможете выяснить, с какой рабочей станции отправляется весь SMTP-трафик. Удачи!

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .