Сервер ломится на почтовик по порту 25

[Slaweek]

В нашей сети работает файловый сервер на Win2003 и машинка на Linuxe, которая обеспечивает народу I-net и собственный почтовый сервер с реальным IP. Наш IP регулярно попадает в dnsbl.sorbs.net, т.е. блокируется получение наших писем адресатами. Есть подозрение, что с сервером не все в порядке. Активность сервера на Линухе просматривается вот так:
08:38:41.300956 IP 192.168.0.1.2173 > 192.168.0.220.smtp: R 57:57(0) ack 386 win 0
08:38:41.300979 IP 192.168.0.1.2173 > 192.168.0.220.smtp: R 2349467524:234946752
4(0) win 0
08:38:41.329677 IP 192.168.0.1.2177 > 192.168.0.220.smtp: P 1:13(12) ack 67 win 65469
08:38:41.329700 IP 192.168.0.220.smtp > 192.168.0.1.2177: . ack 13 win 5840
08:38:41.329822 IP 192.168.0.220.smtp > 192.168.0.1.2177: P 67:299(232) ack 13 win 5840
08:38:41.392207 IP 192.168.0.1.2177 > 192.168.0.220.smtp: P 13:62(49) ack 299 win 65237
08:38:41.392478 IP 192.168.0.220.smtp > 192.168.0.1.2177: P 299:325(26) ack 62 win 5840
08:38:41.564005 IP 192.168.0.1.2177 > 192.168.0.220.smtp: . ack 325 win 65211
08:38:42.923728 IP 192.168.0.1.2177 > 192.168.0.220.smtp: P 62:68(6) ack 325 win 65211
08:38:42.923823 IP 192.168.0.1.2177 > 192.168.0.220.smtp: F 68:68(0) ack 325 win 65211
08:38:42.924119 IP 192.168.0.220.smtp > 192.168.0.1.2177: P 325:383(5 ack 69 win 5840
08:38:42.924147 IP 192.168.0.220.smtp > 192.168.0.1.2177: F 383:383(0) ack 69 win 5840
08:38:42.925066 IP 192.168.0.1.2177 > 192.168.0.220.smtp: R 69:69(0) ack 383 win 0
08:38:42.925075 IP 192.168.0.1.2177 > 192.168.0.220.smtp: R 1121121904:112112190
4(0) win 0

HELP! Логи прикладываются...

[Aleksandra]

Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#30)

Логи сделаны из терминальной сессии. Переделывайте с консоли...

Выполните http://virusinfo.info/showthread.php?t=3519

[Slaweek]

Выложил логи по новой.
Please! Help me again!

[Aleksandra]

1. Выполните скрипт в AVZ:

Код:

begin
SetAVZPMStatus(false);
ExecuteStdScr(6);
RebootWindows(true);
end.

2. Повторите лог virusinfo_syscheck.

3. Выполните http://virusinfo.info/showthread.php?t=3519

[Slaweek]

Скрипт выполнен, новый лог закачан.

Действие по ссылке http://virusinfo.info/showthread.php?t=3519 тоже выполнено - моя запись в ветке под номером 7947

Жду дальнейших указаний!

[Aleksandra]

Ничего плохого в логах не увидела. Нужно смотреть кто из сети ломится на 25-й порт, и чистить зараженные машины.

[Slaweek]

Ничего плохого в логах не увидела. Нужно смотреть кто из сети ломится на 25-й порт, и чистить зараженные машины.

Было несколько подобных машин в сети. Вели себя одинаково и даже хуже - по 25-му порту они вообще выходили на внешние IP. После чисток различными антивирусными программами эта проблема ушла. Остался только сервер, который теперь ходит только на внутренний почтовик...
Что ж, посмотрим дальше на его поведение...

Спасибо большое за проделанную работу!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены