Jak odhalit v LAN PC, ktere (asi) rozesila spam?

Ahoj,

mame problem s rozesilanim spamu z "nasi" firemni adresy. Mame sit o cca 15 PC, bezi zde W2k. Firma, ktera se stara o nas mailserver ma takovy vlazny pristup k reseni problemu, tvrdi, ze to rozesila jeden z nasich PC, rad bych si to overil sam. Mame aktualizovane AVG, skenujeme kazdy den, projel jsem vsechna PC Spyware Terminatorem, ale problem zatim (podle poctu vracejicich se odmitnutych mailu) trva. Jak by bylo mozne lokalizovat PC, ktere je potencialne zdrojem SPAMu? Jako laika mne napada neco jako Ethreal, ci na PC, kde bezi mailserver (OS FEDORA) tcpdump?
Diky za rady, M.

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Predne, v hlaseni mailserveru o odmitnuti by melo byt videt, z jakoho duvodu ( nejaky blacklist nebo… JR_Ewing 11.12.2006 12:48	JR_Ewing	11.12.2006 12:48
Diky za odpoved, hlasky mailserveru jsou napr. 550 5.7.1 (nevyzadany obsah),na blacklistech (podle d… Mrak 11.12.2006 13:00	Mrak	11.12.2006 13:00
Tak jsem se koukal do logu firewallu a z lokalni site je tam povoleno - porty 53, 25, 110, 8, 3128,… Mrak 11.12.2006 13:14	Mrak	11.12.2006 13:14
zalezi jak mate firemni politiky. Nekde je zadouci, aby si uzivatele mohli rozesilat vlastni postu,… JR_Ewing 11.12.2006 13:57	JR_Ewing	11.12.2006 13:57
Hm, pardon za nedostatecne informace, uvedene porty byly pro smer lan -> firewall. Pripadne dalsi in… Mrak 11.12.2006 14:19	Mrak	11.12.2006 14:19
když sem mrskneš výstup příkazu iptables -L FORWARD -n -v touchwood 11.12.2006 14:30	touchwood	11.12.2006 14:30
Tak tady to je (iptables -L FORWARD -n -v): Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts byt… Mrak 11.12.2006 14:45	Mrak	11.12.2006 14:45
aha, Mraku, tak ještě poprosím o výstupy z: iptables -L eth0_fwd -n -v a iptables -L eth1_fwd -n… nový touchwood 11.12.2006 15:24	touchwood	11.12.2006 15:24
(hm, myslim, ze uz jsi pochopil, jak hodne tomu rozumim...:-/) Eth0 je vnejsi a eth1 je vnitrni, vyp… nový Mrak 11.12.2006 15:34	Mrak	11.12.2006 15:34
V jednom se pletete: V sitich velkych ISP nejsou porty nikterak omezovany. Pouze kazdy solidni ISP b… nový Mysel 12.12.2006 15:27	Mysel	12.12.2006 15:27
To vysvetluj treba O2 na jejich CMDA ;-) nový JR_Ewing 12.12.2006 16:03	JR_Ewing	12.12.2006 16:03
Vypisy: Chain eth0_fwd (1 references) pkts bytes target prot opt in out source destination 0 0 dyna… nový Mrak 11.12.2006 15:36	Mrak	11.12.2006 15:36
OMFG! To jsou chainy jako detektivka! :-D tak pokračujeme v "Kriminální ústředna pátrá a vyšetřuje"… nový touchwood 12.12.2006 21:29	touchwood	12.12.2006 21:29
precti si manual k shorewall... mozna by stacilo napsat obsah vsech souboru v adresari /etc/shorewal… nový JR_Ewing 12.12.2006 21:52	JR_Ewing	12.12.2006 21:52
Pribeh pokracuje... Chain loc2net (1 references) pkts bytes target prot opt in out source destinati… poslední Mrak 13.12.2006 09:22	Mrak	13.12.2006 09:22

Predne, v hlaseni mailserveru o odmitnuti by melo byt videt, z jakoho duvodu ( nejaky blacklist nebo podobne, kde se muzes porozhlednout o duvodu neprijmani z vasi adresy ).
Dalsi vec, mate ve firme zakazany pro uzivatele port 25 smerem ven? Jestli dany stroj neobchazi mailserver a nerozesila si to sam. Kdyz mate povoleny postovni provoz jen pro mailserver, hledej v logu mailserveru, pokud mate neomezeny postovni provoz ( coz predpokladam ), hledej v logu firewallu postovni spojeni ( cil port 25, zdroj jina vnitrni IP nez mailserver ).
Co pouzivate jako firewall?

Diky za odpoved, hlasky mailserveru jsou napr. 550 5.7.1 (nevyzadany obsah),na blacklistech (podle dnsstuff.com) nejsme. S portem 25 a jeho omezenim uz jsem kdesi cetl (http://pc.poradna.net/question/view/61818-mailserve r-na-blackliste), to se pokusim zjistit. Zkusim prohledat ty logy firewallu a mailserveru, i kdyz Linux je pro mne zatim velka neznama, ale aspon se priucim, ze. Firewall se jmenuje Shorewall.
M.
/edit: a na PC s mailserverem bezi take Spamassasin

Tak jsem se koukal do logu firewallu a z lokalni site je tam povoleno - porty 53, 25, 110, 8, 3128, 1300, zakazano neni nic. To asi neni uplne dobre, coz...?
M.

zalezi jak mate firemni politiky. Nekde je zadouci, aby si uzivatele mohli rozesilat vlastni postu, ale ve vetsine pripadu to zadouci neni. A to dokonce ani v sitich velkych ISP, kde maji svoje vlastni postovni servery.
Jak jsem tak zbezne nahledl do dokumentace k shorewallu, tak mam pocit, ze napsat potrebny prikaz iptables je jednodussi, nez vytvaret ty pravidla tam ( ktera stejne pak projdou prikazem iptables )..
Kazdopadne vami zaslana informace o portech je pro me nedostatecna, protoze povolene ty porty byt mohou, ale pokud nebudu vedet odkud kam, tak muzu jenom hadat.

Hm, pardon za nedostatecne informace, uvedene porty byly pro smer lan -> firewall. Pripadne dalsi info dodam. Diky velice, M.

když sem mrskneš výstup příkazu

iptables -L FORWARD -n -v

Tak tady to je (iptables -L FORWARD -n -v):

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
32354 1420K DROP      !icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALI          D
 272M  194G eth0_fwd   all  --  eth0   *       0.0.0.0/0            0.0.0.0/0
 225M   31G eth1_fwd   all  --  eth1   *       0.0.0.0/0            0.0.0.0/0
 2993  167K common     all  --  *      *       0.0.0.0/0            0.0.0.0/0
 2993  167K LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0           level 6 prefix `Shorewall:FORWARD:REJECT:'
 2993  167K reject     all  --  *      *       0.0.0.0/0            0.0.0.0/0

aha, Mraku, tak ještě poprosím o výstupy z:

iptables -L eth0_fwd -n -v

iptables -L eth1_fwd -n -v

BTW, ještě si prosím pomocí ifconfig zjisti, které z rozhraní eth0 či eth1 je vnější a které vnitřní (z hlediska LAN).

(hm, myslim, ze uz jsi pochopil, jak hodne tomu rozumim...) Eth0 je vnejsi a eth1 je vnitrni, vypisy pastnu nize, by bylo vic mista.
Vdaka tacude.

V jednom se pletete: V sitich velkych ISP nejsou porty nikterak omezovany. Pouze kazdy solidni ISP bojuje v souladu s prislusnymi RFC proti Open Relay konfiguraci mailserveru ve vlastni siti. ISP je Internet Service Provider, takze nabizi pripojeni k internetu, ne jen k poste a webu, jako nektere garazove firmy apod. Vysledkem je pak mj. to, ze zadny solidni provider nebude omezovat odchozi, ale ani prichozi traffic podle portu.

To vysvetluj treba O2 na jejich CMDA

Vypisy:

Chain eth0_fwd (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW
 272M  195G net2all    all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 net2all    all  --  *      eth0    0.0.0.0/0            195.22.44.0/24
    0     0 net2all    all  --  *      eth0    0.0.0.0/0            192.168.1.0/24
    0     0 loc2_frwd  all  --  *      *       195.22.44.0/24       0.0.0.0/0
    0     0 loc3_frwd  all  --  *      *       192.168.1.0/24       0.0.0.0/0

Chain eth1_fwd (1 references)
 pkts bytes target     prot opt in     out     source               destination
9494K  492M dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW
 225M   31G loc2net    all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    0     0 all2all    all  --  *      eth0    0.0.0.0/0            195.22.44.0/24
    0     0 all2all    all  --  *      eth0    0.0.0.0/0            192.168.1.0/24

OMFG! To jsou chainy jako detektivka!

tak pokračujeme v "Kriminální ústředna pátrá a vyšetřuje"

iptables -L loc2net -v -n

precti si manual k shorewall... mozna by stacilo napsat obsah vsech souboru v adresari /etc/shorewall/rules

Pribeh pokracuje...

Chain loc2net (1 references)
 pkts bytes target     prot opt in     out     source               destination 
 220M   33G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
9513K  493M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

TO BE CONTINUED...(?)

Diky, M.

Zpět do poradny Odpovědět na původní otázku Nahoru