Столкнулся с эффектом, не могу разобраться. Методично — раз в сутки наш IP попадает на
http://cbl.abuseat.org/Вроде в течении месяца spamprotexx гонял, во внутрь гадости стало лезть минимум.
Но как вычислить виновника не совсем могу представить
Можно ли сделать запрос на CBL, что именно с нашего IP посчиталось спамом?Если капать Е4, то какие логи шерстить? Я как бы понимаю, что SMTP log, но там столько...
Может быть можно сделать какой-нибудь отбор по контексту, ну там "нелокальность" отправителя или что-то подобное?
Посмотрите DATA\log\smtp\201106smtpsend.txt (обычно он небольшой, если вы не запускаете массовых рассылок) — есть ли там отправка наружу на явно левые адреса?
ред: 16.06.2011 20:10
ред: 20.06.2011 11:33
Так и должно быть или таки за это меня CBL и наказывает? Пока что копаю, что за софт так делает, есть подозрения на 1С. office@my.domen.com — реальный адрес, пароли на все ящики сгенерированы 8ми значные, неужели подобрали о_О
Временами смотрю в оснастке Е4 "попытки авторизации" ну там бывают записи, но прям что бы кто-то ломился методично — нет.
Нет, IP точно выделеный и на нем только мы весим, SMTP используем свой.
Как мне видится такое правило: если отправитель письма не из сети 172.16.*.* и если он аутентифицируется как член проекта, то сбросить соединение. Только вот не знаю, на какой стадии нужно реализовывать проверку.
Стадия фильтра — MAIL FROM. Наличие успешной авторизации — UID @ в поле "Правило". IP НЕ 172.16.*.*. Выполнить "Отказаться выполнять команду".
Вот что интересно — пароль был поменян, информации о подборе не было, но вот строка из лога SMTPsend:
При этом в общем логе SMTP упоминания о niu_rong@sohu.com или xxx@loniir.ru в это время вообще нету, зато чётко видны попытки авторизации на акк xxx@loniir.ru:
А письмо, которое отпиналось, надо, наверное, за пятое число смотреть. В статистике самое начало суток.
Да, не стояла галка "требовать авторизацию для исходящей почты" — но ведь, как я понимаю, это работает только для локальных отправителей? Как определяется "локальность"? Может быть, тут я напортачил?
При этом — нету ни в каком другом логе. В спуле — пусто, во всех других папках — тоже ничего нету. Откуда берутся — непонятно, сам пользователь ничего на этот ящик не шлёт, да если бы и с его машины была отправка (скажем, троян какой) — то почему в логах фигурирует время, когда его точно не было на месте и компьютер был выключен? Не понимаю пока...
По поводу правила для фильтра SMTP — как быть, если у меня две локальные сети, 172.16.*.* и 192.168.*.*? 172 — основная сетка, но в 192 тоже есть машины, с которых может идти почта (преимущественно — серваки). Можно ли упомянуть в правиле два диапазона?
Можно даже проще — IsLanClient 0= в поле "Правило".
Есть мысля — не просто отбрасывать такую почту, а перенаправить её в спецящик, для последующего обучения байеса. Наш MX внешних отправителей вообще не должен обслуживать, поэтому — если в поле mailfrom оказался наш домен, то стопудово спам.
CBL заблокировал меня совсем, теперь делистинг нельзя сделать.
Что интересно:
Смотрю 201107smtpsend.txt там примерно в это время (+/- 120 минут) записей нет вообще.
Куда еще копать, какие логи смотреть, перебивать все пароли для пользователей?
Как быть, прошу помощи
Какие еще могут быть идеи? У меня тут "паника в селе" почта не ходит, пользователи возмущены.
По неотправке почты паниковать не надо — всегда можно быстро перенастроить на отправку почты через провайдера или хостера — добавить в E4.ini
С поправкой на зону времени?
...включая локальный NAT, т.к. компьютеры пользователей в ЛС могут заразиться и спамить через местный NAT, т.е. от вашего IP.
ред: 12.07.2011 17:30
99% Этот IP за нами уже лет 8.
Конечно, но я на всякий случай(учитывая несвоевременное попадание инф. на сайт CBL) смотрю в промежутке +/- три часа — это смело закрывает и поправку тоже.
Вот тут не совсем понял. Если у меня локалка полностью за прокси, который да же в домен не входит. Как компьютеры могут спамить? К тому же в ЛС NAT'a нет.
На самой машине с Е4 под win7 стоит сам E4, ISS 7.5 и Microsoft Security Essentials, собственно и все.
Если NAT'а в ЛС нет, то компьютеры из ЛС могут спамить только через прокси. Но если (при отсутствии NAT) в логах прокси нет внешних подключений к 25м портам, то они и через прокси не спамили. В Windows есть свой NAT, но по умолчанию он отключен (можно на всякий случай проверить, не включен ли общий доступ к внешнему соединению в свойствах сетевой карты или VPN).
Какие еще могут быть варианты — даже не знаю... Остаётся мониторить все внешние подключения в надежде, что факт отправки почты отразится в логе этого монитора. Готовую программу подсказать не могу (самому такое не требовалось никогда — случаи спама через нас всегда были результатом подбора пароля, и всегда находили отражения в логах SMTP). Можно было бы Wireshark'ом с фильтром по порту назначения 25, но он не пишет в лог программу-инициатор соединения, и не любые сетевые интерфейсы умеет мониторить. Самое простое, что приходит в голову — зациклить "netstat.exe -ona" с паузой в десяток секунд, собрать лог за несколько часов (вы ведь каждый день в CBL попадаете, т.е. спам продолжается?), затем отGREPить его по 25му порту (или вместе с grep'ом и зациклить, чтобы лог был поменьше) и по pid'у процесса определить, где именно просверлили дырку.
ред: 13.07.2011 06:34
Сейчас сделал делистинг наконец. И запустил логирование через netstat. Будем посмотреть
То есть без acSMTP ничего не происходит, а при запущенном меня CBL ловил с регулярностью в 5-6 часов.
Как быть? Все таки хочется докопаться через лог, а не тупой заменой паролей.
Может быть совпало, и робот тоже отдыхал в выходные. Или например выключили на выходные тот компьютер в ЛС, который отправлял спам через NAT.
Если WireShark видит ваш внешний сетевой интерфейс, то попробуйте теперь им помониторить с фильтром по 25му порту.
Кстати, вместо останова acSMTP можно было просто настроить smtpsend отправлять через провайдера, как я писал выше. Или убрать smtpsend в другой каталог, тогда нечем будет отправлять, и вся почта, включая спам, будет копиться в mail\out. В Eserv отправкой почты занимается только smtpsend, поэтому если он настроен работать через провайдера, или если вообще не запускается, то ваш IP в CBL (по его вине) никак не попадёт, т.е. проверка будет аналогично останову acSMTP, но без прерывания хождения почты.
Тут мог я пропустить. Дело в том, что записывая в файл через cmd-netstat, файл рос как на дрожжах, как отфильтровать только по 25 порту мне не придумалось. Поэтому я использовал приблуду под названием "NetStat Agent" она ведет лог в журнал *.csv, потом очень удобно фильтровать по нужным параметрам, но почему-то в журнал не писались PID'ы процессов. Плюс, допустим мы получили нужный PID, но шансы что этот процесс до сих пор висит малы.
Про WireShark не знал :-[ , сейчас пробую.
Наверное на эту неделю так и сделаю.
Гм, попробовать можно, но учитывая кол-во спама, который лезет, будет наверное сложно что-то там найти потом.
Я о нем писал выше 12.07.2011 19:07.
Входящий спам не через smtpsend идёт. Всё, что наберется в mail\out — это исходящая почта. Там же будет и спам, если он через Eserv SMTP идёт. Наверное его не много, раз до сих пор не получается его заметить — значит вы легко сможете потом этот mail\out поделить на спам и не спам.
Видно, что с IP 117.64.5.0 прошла аутентификация. Вопрос — что, теперь правило IsLanClient 0= не работает?
В нём никакой привязки к дате нет. Если раньше работало, то и сейчас должно.
Где это защитное правило у вас установлено, в каком виде?