Sziasztok!
Szerintetek mi a legjobb módja annak, hogy megtaláljak egy olyan gépet ami spameket küldözget? kb 2 hetente felkerülünk egy spam Block Lisára és egyszerűen nem találom meg azt a gépet ami a leveleket küldözgeti.
Leginkább Windowsos gépek vannak. Az összesen vírusírtó és Search and destroy fut. Arra is gondoltam, hogy kéne csinállni egy forgalomelemző linuxot..
- 1622 megtekintés
Hozzászólások
kellően szigorú tűzfal szabályzás->minden tiltott, kivéve amit engedsz
Aztán a logfile-okból hamar kiderül, hogy melyik gép akar kifelé forgalmazni egy olyan porton amihez semmi köze nem volna.
Persze lehet, hogy tűzoltásként gyorsabb beállítani +1 gépet ami ráadásul a szabályok bevezetésekor előforduló, napi működést befolyásoló zavarokat nem okoz.
Egyébként spamlistre felkerülni simán lehet ártatlanul is....velem is megtörtént.
- A hozzászóláshoz be kell jelentkezni
A tűzfal készítése folyamatban van, csak annyira nem vagyok jártas még az iptables működésében ezért inkább utánnaolvasok mielőtt üzembe helyezném. Azt jól tudom, hogy ha van egy spammelő gép az elméletileg az SMTP porton keresztül küldözgeti a szemetjeit? Nmap-el végig pásztáztam a hálót de egyik 25-ös sem volt nyitva :(
- A hozzászóláshoz be kell jelentkezni
azon a porton küldi ki amin akarja. Az, hogy az smtp-nek a 25-ös portot szokás megadni, az nem jelent semmit, el lehet térni tőle....és meg is teszik.
- A hozzászóláshoz be kell jelentkezni
francba.. mind1 elindítottam egy full port scannelést.. majd a gyanús portokkal rendelkező gépeket átnézem..
- A hozzászóláshoz be kell jelentkezni
Ahhoz, hogy valaki levelet tudjon kuldeni, nem is kell nyitva legyen a 25/tcp portja.....
ASK Me No Questions, I'll Tell You No Lies
- A hozzászóláshoz be kell jelentkezni
Hogy történt?
Én ugyanis csak egy "viszonylag vétlen" esetetet tudok elképzelni: ha valaki spamtrap-re reléz át rajtad egy levelet.
Persze itt nem a hagyományos "open relay" esetére gondolok, mert az szarvashiba, hanem arra, amikor nem létező címzettnek küldenek hozzád levelet, válaszcímként egy spamtrap-et adva meg. Ekkor a szervered a spamtrap-re küldi a nem létező fiókról szóló hibaüzenetet.
Ez történt veled is?
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
úgy, hogy az ISP-m csakis a saját szolgáltatói címét volt hajlandó smtp-zni, tehát nem minden a tartományából érkező + authentikált smtp kérést szolgált ki, hanem csak azt aminek a headerjében a küldő megegyezett a userrrel. Ergo semmilyen korábbi/ingyenes/más domainű címemet nem tudtam használni kliensről.
Workaround->otthoni smtp-t indítottam, mivel többszöri kérésemre sem voltak hajlandóak elhárítani a hibát.Szép is volt minden...
Aztán egyszer csak a szolgáltató automatája lekorlátozott kizárólag a 80-as portra, 2 heti levelezés után kiderült, hogy valami automata spammernek nézett, mivel dinamikus ip-ről küldözgettem, aztán szépen felkarcolt egy RBL listára, az ISP meg szentírásnak vette az RBL-t. Pedig spam nem ment ki, csakis normál napi levelezés.
Röviden kb ennyi.
- A hozzászóláshoz be kell jelentkezni
Aha. Ezt nem is tudtam (én eddig mindig fix ip-t használtam).
Viszont hogy a probléma ismert, mutatja egy idézet a www.sorbs.net címlapjának főhelyéről (fent a lap közepén):
"Users of dynamically assigned IP addresses, please note that SORBS is not identifying you as a spammer. SORBS is identifying you as a dynamic IP address user, nothing more, nothing less. "
Önmagában a tagadás is sok mindent el tud mondani.
---
Mondjon le!
- A hozzászóláshoz be kell jelentkezni
Miért, most mi a gateway?
- A hozzászóláshoz be kell jelentkezni
egy sima 1 szerű 10e ft-os router :(
- A hozzászóláshoz be kell jelentkezni
És azon a csodaketyerén nem lehet beállítani, hogy a 25/tcp-t csak a isp smarthostja felé natolja?
- A hozzászóláshoz be kell jelentkezni
hát ilyet eddig még nem láttam rajta... örülök, ha még megy 1-2 hétig..
- A hozzászóláshoz be kell jelentkezni
Mi az ilyesmit IDS-el szoktuk nezni, snort/prelude/bro a baratod.
Udv. eax
- A hozzászóláshoz be kell jelentkezni