Printable View
[QUOTE=leha-ufa;422231]перезагружал, я уже отписался в личку.[/QUOTE]
Все, он стал отвечать на запросы. В общем он сейчас сканируется, но поверхностный вывод ясен - он запрашивает SMTP авторизацию, т.е. просто так через него письмо не послать. Как следствие, два базовых вывода:
1. Возможно, кото-то спамит изнутри сетки
2. Быть может кому-то "в миру" стал известен логин-пароль для авторизации
Сейчас сервер досканируется, и я распишу, как выяснить проблему и ее побороть
Я для этого и перегружал чтоб сменить пороль на всяке случай.
Вирус идёт не с сетки а именно с сервака. Пробовал оставлять сервак один отключив от локалки спам шлёться.
[QUOTE=leha-ufa;422246]Я для этого и перегружал чтоб сменить пороль на всяке случай.
Вирус идёт не с сетки а именно с сервака. Пробовал оставлять сервак один отключив от локалки спам шлёться.[/QUOTE]
Стандартные тесты на Open-Relay сервер проходит - он не принимает со стороны почту для ее дальнейшей отправки. Требуются уточнения:
1. Я правильно понимаю, что рассылаемый спам появляется в очереди почтаря ?
2. В логах почтаря видно, откуда он получил задание ?
3. Есть возможность поснифферить сетку ?
[QUOTE]1. Я правильно понимаю, что рассылаемый спам появляется в очереди почтаря ?[/QUOTE]
да висят в списке undelivered messages
[QUOTE]2. В логах почтаря видно, откуда он получил задание ?[/QUOTE]
нет, было бы видно думаю сам бы справился
[QUOTE]3. Есть возможность поснифферить сетку ? [/QUOTE]
А что это даст? Мы увидим то что сообщения реально ходят, так они и должны ходить это же почтовый сервак.
[QUOTE=leha-ufa;422246]Я для этого и перегружал чтоб сменить пороль на всяке случай.[/QUOTE]
Сменить пароль для входа на сервер явно недостаточно. Если у вас на сервере для клиентов используется возможность слать письма не только из локалки, но также из Интернет, то вполне вероятно, что спамеру стали известны логин и пароль одного из ваших клиентов. В таком случае надо узнать, с какими логином и паролем идет логин извне на ваш сервер, и поменять для этого пользователя пароль.
[QUOTE=leha-ufa;422246]Вирус идёт не с сетки а именно с сервака. Пробовал оставлять сервак один отключив от локалки спам шлёться.[/QUOTE]
Если вы перед этим почистили выходную очередь, а она все равно продолжает расти, и спам-письма продолжают идти с сервера, значит спамер находится в И-нете (или на самом сервере - редко, но исключать нельзя). Если же при отключенной локалке очередь не растет - спамер явно сидит в локалке. В любом случае ищите по логам, от чьего имени идет логин, и меняйте для этого клиента пароль.
[QUOTE=leha-ufa;422256]да висят в списке undelivered messages[/QUOTE]
Просто убейте их в выходной очереди, они не нужны...
[QUOTE=leha-ufa;422256]
3. А что это даст? Мы увидим то что сообщения реально ходят, так они и должны ходить это же почтовый сервак.[/QUOTE]
Если на ПК прописался спам-бот, то мы увидим непотребный трафик между ботом и центром управления (он как правило небольшой и шифрованный), и рассылаемые по SMTP спам-письма. Если кто-то просто шлет спам через сервер, зная чей-то логин и пароль, то тогда картина будет симметрична - т.е. мы будем видеть, что почтарь получил от кого-то письмо (и сразу увидим, от кого и как этот кто-то идентифицировался), затем увидим, что это письмо встало в очередь на отправку и затем на сниффере уведим, как оно ушло с сервера.
А, еще момент - а сколь много таких спам-писем в единицу времени проходит ?
Используетьяс ИМАП, по сути сервак досупен с обоих сторон, но чтоб создать ящик по сутинада знать пороль от единсвенного логина для доступа к серваку.
Пробовал создавать ящик с таким же именем от которого шлёться спам, ставить пороли итд итп, не помогает.
[QUOTE]Если вы перед этим почистили выходную очередь, а она все равно продолжает расти и спам-письма идут с сервера, значит спамер находится в И-нете (или на самом сервере - редко, но исключать нельзя). В любом случае ищите по логам, от чьего имени идет логин, и меняйте для этого клиента пароль. [/QUOTE]
Вообще я по началу сервак переустановил, псоатвил всё по новой уставновил КИС, скачал последние базы, перегрузил осле этого подрубил старый винт и потом на новую систему перекачивал базы. После чего всё сохранилось.
Есть конечно вариант попробывать всё настроить по новой на другой винт и не подругужать базы и посмотреть будет ли спамить без добавления баз или не будет.
Но делать это немного геморно сложно сотавить контору вовсе без почты. Либо в выходные либо ночью.
[QUOTE=leha-ufa;422267]Используетьяс ИМАП, по сути сервак досупен с обоих сторон, но чтоб создать ящик по сутинада знать пороль от единсвенного логина для доступа к серваку.[/QUOTE]
Вы хотите сказать, что все ваши клиенты шлют почту с одного почтового ящика?
[QUOTE=leha-ufa;422267]Пробовал создавать ящик с таким же именем от которого шлёться спам, ставить пороли итд итп, не помогает.[/QUOTE]
Этого делать не нужно - то имя, что вы видите в заголовке письма в очереди сервера, может не иметь никакого отношения к имени, с которым логинится клиент. Нужно в логах найти имя клиента, с которым он коннектится к серверу, а не то, что вы видите в заголовке письма.
[QUOTE=Зайцев Олег;422262]Если на ПК прописался спам-бот, то мы увидим непотребный трафик между ботом и центром управления (он как правило небольшой и шифрованный), и рассылаемые по SMTP спам-письма. Если кто-то просто шлет спам через сервер, зная чей-то логин и пароль, то тогда картина будет симметрична - т.е. мы будем видеть, что почтарь получил от кого-то письмо (и сразу увидим, от кого и как этот кто-то идентифицировался), затем увидим, что это письмо встало в очередь на отправку и затем на сниффере уведим, как оно ушло с сервера.
А, еще момент - а сколь много таких спам-писем в единицу времени проходит ?[/QUOTE]
каким снифером пософетуете просканить?
[QUOTE=leha-ufa;422274]каким снифером пософетуете просканить?[/QUOTE]
Любым, это не важно. Из простых и надежных - CommView например, у чего очень простой интерфейс, хорошая система фильтрации пакетов и реконструкции сессий
[QUOTE]Вы хотите сказать, что все ваши клиенты шлют почту с одного почтового ящика?[/QUOTE]
нет конечно. А при чём тут пороль к почтовому ящику и доступ к компу???
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE]Любым, это не важно. Из простых и надежных - CommView например[/QUOTE]
устроит такая CommView 6.1 Home
Готов разбираться с проблемкой всю ночь елси б кто консультировал. Сам уже с багом замучался.
[QUOTE=leha-ufa;422279]нет конечно. А при чём тут пороль к почтовому ящику и доступ к компу???[/QUOTE]
Значит, я вас неправильно понял. Ответьте на простой вопрос: вы можете по логам почтового сервера определить, от чьего имени ставится спам-письмо в очередь сервера? Если да, то просто сделайте это и поменяйте пароль у данного пользователя. Если же нет, то для начала временно отключите всех почтовых пользователей от почтовика, а потом включайте по одному и наблюдайте за очередью сервера. Таким образом вы найдете спамера. Учтите при этом, что он может быть не один.
[QUOTE]Значит, я вас неправильно понял. Ответьте на простой вопрос: вы можете по логам почтового сервера определить, от чьего имени ставится спам-письмо в очередь сервера? Если да, то просто сделайте это и поменяйте пароль у данного пользователя. Если же нет, то для начала временно отключите всех почтовых пользователей от почтовика, а потом включайте по одному и наблюдайте за очередью сервера. [/QUOTE]
Тоесть вы предлагаете заблокировать на почтовом серваке все почтовые ящики, тоесть по сути сделать их неактивными и включать по одному и смотреть, так?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE]Если на ПК прописался спам-бот, то мы увидим непотребный трафик между ботом и центром управления (он как правило небольшой и шифрованный), и рассылаемые по SMTP спам-письма. Если кто-то просто шлет спам через сервер, зная чей-то логин и пароль, то тогда картина будет симметрична - т.е. мы будем видеть, что почтарь получил от кого-то письмо (и сразу увидим, от кого и как этот кто-то идентифицировался), затем увидим, что это письмо встало в очередь на отправку и затем на сниффере уведим, как оно ушло с сервера.[/QUOTE]
Чёт не могу найти, могу выложить скрин снифера.
[QUOTE]А, еще момент - а сколь много таких спам-писем в единицу времени проходит ? [/QUOTE]
в среднем каждые несколько секунд, когда и чаще в секунду несколько раз.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Выкладываю лог снифера
[QUOTE=leha-ufa;422290]Тоесть вы предлагаете заблокировать на почтовом серваке все почтовые ящики, тоесть по сути сделать их неактивными и включать по одному и смотреть, так?[/QUOTE]
Если другим способом (логи почтовика или сниффера, как предлагает Олег) не найдете спамера (спамеров) - то да. Способ медленный и неэффективный, но что делать...
Лог ещё раз
[url]http://klamas.ru/f/files/100409/log.zip[/url]
ссылка на лог
[QUOTE=leha-ufa;422300]Лог ещё раз[/QUOTE]
Логов нет. Логи если большие, то нужно положить в архиве, куда-то на RapidShare например ... причем сниффер необходимо настроить на захват входящих и исходящих подключений по порту 25.
Все ящики отрубил буду включать каждые 5-10 минут по одному и бумс смотреть
[QUOTE=leha-ufa;422308]Все ящики отрубил буду включать каждые 5-10 минут по одному и бумс смотреть[/QUOTE]
Лог сниффера необходимо сохранять в универсальном формате - например "файлы TCPDump *.cap" - иначе их никто не сможет открыть ... Можно открыть на своем ПК файл NCF и пересохранить его в указанный формат
И в сниффере необходимо
1. Выбрать "смотрящий наружу" сетевой интерфейс (т.е. в второну WAN)
2. Поставить фильтр на порт 25/tcp
3. включить запись пакетов. При этом юзеры должны быть включены на почтаре, почтарь запущен .... и при этом ЛВС должна быть отключена
4. Мониторить так сниффером нужно минут 5-7. Далее сохранить лог в формате "файлы TCPDump *.cap".
Сейчас в присланном логе вообще не видно почтового трафика, никакого ...
Отрубил все ящики пока не видно логов. По одному подрубаю и жду. А если найду на котором ящике шлёться спам, что следует сделать? Пороль сменить?