Все, он стал отвечать на запросы. В общем он сейчас сканируется, но поверхностный вывод ясен - он запрашивает SMTP авторизацию, т.е. просто так через него письмо не послать. Как следствие, два базовых вывода:Сообщение от leha-ufa
1. Возможно, кото-то спамит изнутри сетки
2. Быть может кому-то "в миру" стал известен логин-пароль для авторизации
Сейчас сервер досканируется, и я распишу, как выяснить проблему и ее побороть
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я для этого и перегружал чтоб сменить пороль на всяке случай.
Вирус идёт не с сетки а именно с сервака. Пробовал оставлять сервак один отключив от локалки спам шлёться.
Стандартные тесты на Open-Relay сервер проходит - он не принимает со стороны почту для ее дальнейшей отправки. Требуются уточнения:
1. Я правильно понимаю, что рассылаемый спам появляется в очереди почтаря ?
2. В логах почтаря видно, откуда он получил задание ?
3. Есть возможность поснифферить сетку ?
да висят в списке undelivered messages1. Я правильно понимаю, что рассылаемый спам появляется в очереди почтаря ?
нет, было бы видно думаю сам бы справился2. В логах почтаря видно, откуда он получил задание ?
А что это даст? Мы увидим то что сообщения реально ходят, так они и должны ходить это же почтовый сервак.3. Есть возможность поснифферить сетку ?
Сменить пароль для входа на сервер явно недостаточно. Если у вас на сервере для клиентов используется возможность слать письма не только из локалки, но также из Интернет, то вполне вероятно, что спамеру стали известны логин и пароль одного из ваших клиентов. В таком случае надо узнать, с какими логином и паролем идет логин извне на ваш сервер, и поменять для этого пользователя пароль.
Если вы перед этим почистили выходную очередь, а она все равно продолжает расти, и спам-письма продолжают идти с сервера, значит спамер находится в И-нете (или на самом сервере - редко, но исключать нельзя). Если же при отключенной локалке очередь не растет - спамер явно сидит в локалке. В любом случае ищите по логам, от чьего имени идет логин, и меняйте для этого клиента пароль.
Последний раз редактировалось aintrust; 24.06.2009 в 14:39.
Просто убейте их в выходной очереди, они не нужны...
Если на ПК прописался спам-бот, то мы увидим непотребный трафик между ботом и центром управления (он как правило небольшой и шифрованный), и рассылаемые по SMTP спам-письма. Если кто-то просто шлет спам через сервер, зная чей-то логин и пароль, то тогда картина будет симметрична - т.е. мы будем видеть, что почтарь получил от кого-то письмо (и сразу увидим, от кого и как этот кто-то идентифицировался), затем увидим, что это письмо встало в очередь на отправку и затем на сниффере уведим, как оно ушло с сервера.
А, еще момент - а сколь много таких спам-писем в единицу времени проходит ?
Используетьяс ИМАП, по сути сервак досупен с обоих сторон, но чтоб создать ящик по сутинада знать пороль от единсвенного логина для доступа к серваку.
Пробовал создавать ящик с таким же именем от которого шлёться спам, ставить пороли итд итп, не помогает.
Вообще я по началу сервак переустановил, псоатвил всё по новой уставновил КИС, скачал последние базы, перегрузил осле этого подрубил старый винт и потом на новую систему перекачивал базы. После чего всё сохранилось.Если вы перед этим почистили выходную очередь, а она все равно продолжает расти и спам-письма идут с сервера, значит спамер находится в И-нете (или на самом сервере - редко, но исключать нельзя). В любом случае ищите по логам, от чьего имени идет логин, и меняйте для этого клиента пароль.
Есть конечно вариант попробывать всё настроить по новой на другой винт и не подругужать базы и посмотреть будет ли спамить без добавления баз или не будет.
Но делать это немного геморно сложно сотавить контору вовсе без почты. Либо в выходные либо ночью.
Вы хотите сказать, что все ваши клиенты шлют почту с одного почтового ящика?
Этого делать не нужно - то имя, что вы видите в заголовке письма в очереди сервера, может не иметь никакого отношения к имени, с которым логинится клиент. Нужно в логах найти имя клиента, с которым он коннектится к серверу, а не то, что вы видите в заголовке письма.
каким снифером пософетуете просканить?
Любым, это не важно. Из простых и надежных - CommView например, у чего очень простой интерфейс, хорошая система фильтрации пакетов и реконструкции сессий
нет конечно. А при чём тут пороль к почтовому ящику и доступ к компу???Вы хотите сказать, что все ваши клиенты шлют почту с одного почтового ящика?
Добавлено через 2 минуты
устроит такая CommView 6.1 HomeЛюбым, это не важно. Из простых и надежных - CommView например
Готов разбираться с проблемкой всю ночь елси б кто консультировал. Сам уже с багом замучался.
Последний раз редактировалось leha-ufa; 24.06.2009 в 14:49. Причина: Добавлено
Значит, я вас неправильно понял. Ответьте на простой вопрос: вы можете по логам почтового сервера определить, от чьего имени ставится спам-письмо в очередь сервера? Если да, то просто сделайте это и поменяйте пароль у данного пользователя. Если же нет, то для начала временно отключите всех почтовых пользователей от почтовика, а потом включайте по одному и наблюдайте за очередью сервера. Таким образом вы найдете спамера. Учтите при этом, что он может быть не один.
Тоесть вы предлагаете заблокировать на почтовом серваке все почтовые ящики, тоесть по сути сделать их неактивными и включать по одному и смотреть, так?Значит, я вас неправильно понял. Ответьте на простой вопрос: вы можете по логам почтового сервера определить, от чьего имени ставится спам-письмо в очередь сервера? Если да, то просто сделайте это и поменяйте пароль у данного пользователя. Если же нет, то для начала временно отключите всех почтовых пользователей от почтовика, а потом включайте по одному и наблюдайте за очередью сервера.
Добавлено через 2 минуты
Чёт не могу найти, могу выложить скрин снифера.Если на ПК прописался спам-бот, то мы увидим непотребный трафик между ботом и центром управления (он как правило небольшой и шифрованный), и рассылаемые по SMTP спам-письма. Если кто-то просто шлет спам через сервер, зная чей-то логин и пароль, то тогда картина будет симметрична - т.е. мы будем видеть, что почтарь получил от кого-то письмо (и сразу увидим, от кого и как этот кто-то идентифицировался), затем увидим, что это письмо встало в очередь на отправку и затем на сниффере уведим, как оно ушло с сервера.
в среднем каждые несколько секунд, когда и чаще в секунду несколько раз.А, еще момент - а сколь много таких спам-писем в единицу времени проходит ?
Добавлено через 3 минуты
Выкладываю лог снифера
Последний раз редактировалось leha-ufa; 24.06.2009 в 15:08. Причина: Добавлено
Если другим способом (логи почтовика или сниффера, как предлагает Олег) не найдете спамера (спамеров) - то да. Способ медленный и неэффективный, но что делать...
Лог ещё раз
http://klamas.ru/f/files/100409/log.zip
ссылка на лог
Логов нет. Логи если большие, то нужно положить в архиве, куда-то на RapidShare например ... причем сниффер необходимо настроить на захват входящих и исходящих подключений по порту 25.
Все ящики отрубил буду включать каждые 5-10 минут по одному и бумс смотреть
Лог сниффера необходимо сохранять в универсальном формате - например "файлы TCPDump *.cap" - иначе их никто не сможет открыть ... Можно открыть на своем ПК файл NCF и пересохранить его в указанный формат
И в сниффере необходимо
1. Выбрать "смотрящий наружу" сетевой интерфейс (т.е. в второну WAN)
2. Поставить фильтр на порт 25/tcp
3. включить запись пакетов. При этом юзеры должны быть включены на почтаре, почтарь запущен .... и при этом ЛВС должна быть отключена
4. Мониторить так сниффером нужно минут 5-7. Далее сохранить лог в формате "файлы TCPDump *.cap".
Сейчас в присланном логе вообще не видно почтового трафика, никакого ...
Отрубил все ящики пока не видно логов. По одному подрубаю и жду. А если найду на котором ящике шлёться спам, что следует сделать? Пороль сменить?
Уважаемый(ая) leha-ufa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
