ฉันได้รับแจ้งจาก isp ว่าหนึ่งในเครื่องของฉันกำลังส่งสแปม เรื่องนี้เกิดขึ้นประมาณ 3 เดือนที่ผ่านมาบนเครื่อง windows ที่ใช้งาน cygwin ที่ถูกแฮ็คเนื่องจากช่องโหว่ SSH
แฮกเกอร์ติดตั้ง IIS และ SMTP ฉันล้างเครื่องและบริการทั้งหมดปิดใช้งานดังนั้นฉันคิดว่าเครื่องใช้ได้
ฉันสงสัยว่ามีวิธีอื่นในการระบุเครื่องที่สามารถมาจากไหน?
ISP ไม่มีข้อมูลที่เป็นประโยชน์เช่นพอร์ตต้นทางพอร์ตปลายทาง IP ปลายทาง ... ไม่มีอะไร
ฉันใช้ DD-WRT บนเราเตอร์, Windows 7 PC และ Windows XP PC
คำตอบ:
คุณสามารถเชื่อมต่อฮับระหว่างเราเตอร์และ LAN ของคุณจากนั้นเสียบคอมพิวเตอร์เข้ากับฮับและติดตั้งเครื่องตรวจสอบปริมาณการใช้งานเช่น Microsoft Network Monitor หรือ Wire Shark
จากนั้นคุณจะสามารถตรวจสอบทุกอย่างที่เกิดขึ้นและตั้งค่าตัวกรอง ฯลฯ
เป็นเวลานานแล้วที่ฉันได้เล่นกับ DD-WRT แต่ในเราเตอร์ระดับธุรกิจส่วนใหญ่พวกเขามีความสามารถในการเขียนบันทึกในแต่ละครั้งที่กฎไฟร์วอลล์ตรงกัน
ฉันจะสร้างกฎไฟร์วอลล์สำหรับพอร์ต 25 (สมมติว่า Mass Mailer ใช้พอร์ต SMTP มาตรฐาน) และให้เขียนบันทึกด้วย IP ต้นทางทุกครั้งที่เกิดขึ้น มันควรจะง่ายต่อการค้นหาผู้กระทำผิด
ฉันไม่แน่ใจว่าจะติดตามอย่างไรหากไม่มีการบันทึก netflow หรือ SNMP แต่จะแนะนำให้คุณ จำกัด การรับส่งข้อมูล SMTP ขาออกไปยังเซิร์ฟเวอร์อีเมลของคุณ
ด้านล่างถือว่า IP เมลเซิร์ฟเวอร์เป็น 192.168.1.2 บนเครือข่าย 192.168.1.0/24
iptables -I FORWARD 1 -p tcp -s 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD 2 -p tcp -s 192.168.1.1/24 --dport 25 -j REJECT
ติดตั้งมอนิเตอร์เครือข่ายหรือแอปพลิเคชันดมกลิ่นแพ็คเก็ตเพื่อดูว่ามีอะไรเกิดขึ้นในเครือข่ายของคุณ จากนั้นคุณควรจะสามารถคิดได้ว่าเวิร์กสเตชันใดที่ส่งการรับส่งข้อมูล SMTP ทั้งหมด โชคดี!
ลองใช้ Wireshark - นั่นคือสิ่งที่ บริษัท ของเราแนะนำให้คนเมื่อเรารายงานปัญหาดังกล่าว: