Jak odhalit v LAN PC, ktere (asi) rozesila spam?

Ahoj,

mame problem s rozesilanim spamu z "nasi" firemni adresy. Mame sit o cca 15 PC, bezi zde W2k. Firma, ktera se stara o nas mailserver ma takovy vlazny pristup k reseni problemu, tvrdi, ze to rozesila jeden z nasich PC, rad bych si to overil sam. Mame aktualizovane AVG, skenujeme kazdy den, projel jsem vsechna PC Spyware Terminatorem, ale problem zatim (podle poctu vracejicich se odmitnutych mailu) trva. Jak by bylo mozne lokalizovat PC, ktere je potencialne zdrojem SPAMu? Jako laika mne napada neco jako Ethreal, ci na PC, kde bezi mailserver (OS FEDORA) tcpdump?
Diky za rady, M.

Předmět	Autor	Datum
Predne, v hlaseni mailserveru o odmitnuti by melo byt videt, z jakoho duvodu ( nejaky blacklist nebo… JR_Ewing 11.12.2006 12:48	JR_Ewing	11.12.2006 12:48
Diky za odpoved, hlasky mailserveru jsou napr. 550 5.7.1 (nevyzadany obsah),na blacklistech (podle d… Mrak 11.12.2006 13:00	Mrak	11.12.2006 13:00
Tak jsem se koukal do logu firewallu a z lokalni site je tam povoleno - porty 53, 25, 110, 8, 3128,… Mrak 11.12.2006 13:14	Mrak	11.12.2006 13:14
25 povol jen pro IP adresu MTA a všem ostatním zakaž touchwood 11.12.2006 13:43	touchwood	11.12.2006 13:43
zalezi jak mate firemni politiky. Nekde je zadouci, aby si uzivatele mohli rozesilat vlastni postu,… JR_Ewing 11.12.2006 13:57	JR_Ewing	11.12.2006 13:57
Hm, pardon za nedostatecne informace, uvedene porty byly pro smer lan -> firewall. Pripadne dalsi in… Mrak 11.12.2006 14:19	Mrak	11.12.2006 14:19
:-) ono to vypada, ze to dela to co standartni nastaveni firewallu v Red-Hatu, totiz ze tabulka INPU… JR_Ewing 11.12.2006 14:29	JR_Ewing	11.12.2006 14:29
ted koukam, ze 1300 je port pro nejakou IP telefonii. JR_Ewing 11.12.2006 14:32	JR_Ewing	11.12.2006 14:32
když sem mrskneš výstup příkazu iptables -L FORWARD -n -v touchwood 11.12.2006 14:30	touchwood	11.12.2006 14:30
dival ses na dokumentaci k shorewallu? ja bych spis dal prikaz iptables -L -v -n Abychom mohli srovn… JR_Ewing 11.12.2006 14:32	JR_Ewing	11.12.2006 14:32
nedíval. nicméně to tam musí být, pokud je shorewall jen gateway touchwood 11.12.2006 15:22	touchwood	11.12.2006 15:22
Tak tady to je (iptables -L FORWARD -n -v): Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts byt… Mrak 11.12.2006 14:45	Mrak	11.12.2006 14:45
aha, Mraku, tak ještě poprosím o výstupy z: iptables -L eth0_fwd -n -v a iptables -L eth1_fwd -n… touchwood 11.12.2006 15:24	touchwood	11.12.2006 15:24
(hm, myslim, ze uz jsi pochopil, jak hodne tomu rozumim...:-/) Eth0 je vnejsi a eth1 je vnitrni, vyp… Mrak 11.12.2006 15:34	Mrak	11.12.2006 15:34
V jednom se pletete: V sitich velkych ISP nejsou porty nikterak omezovany. Pouze kazdy solidni ISP b… Mysel 12.12.2006 15:27	Mysel	12.12.2006 15:27
To vysvetluj treba O2 na jejich CMDA ;-) JR_Ewing 12.12.2006 16:03	JR_Ewing	12.12.2006 16:03
Vypisy: Chain eth0_fwd (1 references) pkts bytes target prot opt in out source destination 0 0 dyna… Mrak 11.12.2006 15:36	Mrak	11.12.2006 15:36
OMFG! To jsou chainy jako detektivka! :-D tak pokračujeme v "Kriminální ústředna pátrá a vyšetřuje"… touchwood 12.12.2006 21:29	touchwood	12.12.2006 21:29
precti si manual k shorewall... mozna by stacilo napsat obsah vsech souboru v adresari /etc/shorewal… JR_Ewing 12.12.2006 21:52	JR_Ewing	12.12.2006 21:52
Pribeh pokracuje... Chain loc2net (1 references) pkts bytes target prot opt in out source destinati… poslední Mrak 13.12.2006 09:22	Mrak	13.12.2006 09:22

Predne, v hlaseni mailserveru o odmitnuti by melo byt videt, z jakoho duvodu ( nejaky blacklist nebo podobne, kde se muzes porozhlednout o duvodu neprijmani z vasi adresy ).
Dalsi vec, mate ve firme zakazany pro uzivatele port 25 smerem ven? Jestli dany stroj neobchazi mailserver a nerozesila si to sam. Kdyz mate povoleny postovni provoz jen pro mailserver, hledej v logu mailserveru, pokud mate neomezeny postovni provoz ( coz predpokladam ), hledej v logu firewallu postovni spojeni ( cil port 25, zdroj jina vnitrni IP nez mailserver ).
Co pouzivate jako firewall?

Diky za odpoved, hlasky mailserveru jsou napr. 550 5.7.1 (nevyzadany obsah),na blacklistech (podle dnsstuff.com) nejsme. S portem 25 a jeho omezenim uz jsem kdesi cetl (http://pc.poradna.net/question/view/61818-mailserve r-na-blackliste), to se pokusim zjistit. Zkusim prohledat ty logy firewallu a mailserveru, i kdyz Linux je pro mne zatim velka neznama, ale aspon se priucim, ze. Firewall se jmenuje Shorewall.
M.
/edit: a na PC s mailserverem bezi take Spamassasin

Tak jsem se koukal do logu firewallu a z lokalni site je tam povoleno - porty 53, 25, 110, 8, 3128, 1300, zakazano neni nic. To asi neni uplne dobre, coz...?
M.

25 povol jen pro IP adresu MTA a všem ostatním zakaž

zalezi jak mate firemni politiky. Nekde je zadouci, aby si uzivatele mohli rozesilat vlastni postu, ale ve vetsine pripadu to zadouci neni. A to dokonce ani v sitich velkych ISP, kde maji svoje vlastni postovni servery.
Jak jsem tak zbezne nahledl do dokumentace k shorewallu, tak mam pocit, ze napsat potrebny prikaz iptables je jednodussi, nez vytvaret ty pravidla tam ( ktera stejne pak projdou prikazem iptables )..
Kazdopadne vami zaslana informace o portech je pro me nedostatecna, protoze povolene ty porty byt mohou, ale pokud nebudu vedet odkud kam, tak muzu jenom hadat.

Hm, pardon za nedostatecne informace, uvedene porty byly pro smer lan -> firewall. Pripadne dalsi info dodam. Diky velice, M.

ono to vypada, ze to dela to co standartni nastaveni firewallu v Red-Hatu, totiz ze tabulka INPUT ( to co konci ve firewallu - napriklad porty 53 - DNS, 3128 - webova proxy apod. ) a tabulka FORWARD ( to co prochazi z vnitrni site do internetu ) jsou naprosto shodne. Potrebuje povolil port 25 - SMTP - smerem ven pouze z adresy postovniho serveru. Taky bych prehodnotil otevreni portu 110 ( pop3 ), zdali maji mit uzivatele v pracovni dobe moznost si stahovat postu z jinych postovnich serveru nez je ten vas. Toto je taky dobry zdroj infekci. Port 1300 a 8 nemam tuseni k jakemu ucelu mohou slouzit, zrejme nejake vase vnitrni aplikace. Krome techto portu predpokladam ostatni spojeni jsou zapovezena.

ted koukam, ze 1300 je port pro nejakou IP telefonii.

když sem mrskneš výstup příkazu

iptables -L FORWARD -n -v

dival ses na dokumentaci k shorewallu?
ja bych spis dal prikaz iptables -L -v -n
Abychom mohli srovnat INPUT a FORWARD

nedíval. nicméně to tam musí být, pokud je shorewall jen gateway

Tak tady to je (iptables -L FORWARD -n -v):

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
32354 1420K DROP      !icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALI          D
 272M  194G eth0_fwd   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
 225M   31G eth1_fwd   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
 2993  167K common     all  --  *      *       0.0.0.0/0            0.0.0.0/0
 2993  167K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0           level 6 prefix `Shorewall:FORWARD:REJECT:'
 2993  167K reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

aha, Mraku, tak ještě poprosím o výstupy z:

iptables -L eth0_fwd -n -v

iptables -L eth1_fwd -n -v

BTW, ještě si prosím pomocí ifconfig zjisti, které z rozhraní eth0 či eth1 je vnější a které vnitřní (z hlediska LAN).

(hm, myslim, ze uz jsi pochopil, jak hodne tomu rozumim...) Eth0 je vnejsi a eth1 je vnitrni, vypisy pastnu nize, by bylo vic mista.
Vdaka tacude.

V jednom se pletete: V sitich velkych ISP nejsou porty nikterak omezovany. Pouze kazdy solidni ISP bojuje v souladu s prislusnymi RFC proti Open Relay konfiguraci mailserveru ve vlastni siti. ISP je Internet Service Provider, takze nabizi pripojeni k internetu, ne jen k poste a webu, jako nektere garazove firmy apod. Vysledkem je pak mj. to, ze zadny solidni provider nebude omezovat odchozi, ale ani prichozi traffic podle portu.

To vysvetluj treba O2 na jejich CMDA

Vypisy:

Chain eth0_fwd (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW
 272M  195G net2all    all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 net2all    all  --  *      eth0    0.0.0.0/0            195.22.44.0/24
    0     0 net2all    all  --  *      eth0    0.0.0.0/0            192.168.1.0/24
    0     0 loc2_frwd  all  --  *      *       195.22.44.0/24       0.0.0.0/0
    0     0 loc3_frwd  all  --  *      *       192.168.1.0/24       0.0.0.0/0

Chain eth1_fwd (1 references)
 pkts bytes target     prot opt in     out     source               destination
9494K  492M dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW
 225M   31G loc2net    all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    0     0 all2all    all  --  *      eth0    0.0.0.0/0            195.22.44.0/24
    0     0 all2all    all  --  *      eth0    0.0.0.0/0            192.168.1.0/24

OMFG! To jsou chainy jako detektivka!

tak pokračujeme v "Kriminální ústředna pátrá a vyšetřuje"

iptables -L loc2net -v -n

precti si manual k shorewall... mozna by stacilo napsat obsah vsech souboru v adresari /etc/shorewall/rules

Pribeh pokracuje...

Chain loc2net (1 references)
 pkts bytes target     prot opt in     out     source               destination 
 220M   33G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
9513K  493M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

TO BE CONTINUED...(?)

Diky, M.

Zpět do poradny Odpovědět na původní otázku Nahoru