ฉันจะค้นหาคอมพิวเตอร์ในเครือข่ายที่ทำการส่งจดหมายจำนวนมากได้อย่างไร


3

ฉันได้รับแจ้งจาก isp ว่าหนึ่งในเครื่องของฉันกำลังส่งสแปม เรื่องนี้เกิดขึ้นประมาณ 3 เดือนที่ผ่านมาบนเครื่อง windows ที่ใช้งาน cygwin ที่ถูกแฮ็คเนื่องจากช่องโหว่ SSH

แฮกเกอร์ติดตั้ง IIS และ SMTP ฉันล้างเครื่องและบริการทั้งหมดปิดใช้งานดังนั้นฉันคิดว่าเครื่องใช้ได้

ฉันสงสัยว่ามีวิธีอื่นในการระบุเครื่องที่สามารถมาจากไหน?

ISP ไม่มีข้อมูลที่เป็นประโยชน์เช่นพอร์ตต้นทางพอร์ตปลายทาง IP ปลายทาง ... ไม่มีอะไร

ฉันใช้ DD-WRT บนเราเตอร์, Windows 7 PC และ Windows XP PC

คำตอบ:


4

คุณสามารถเชื่อมต่อฮับระหว่างเราเตอร์และ LAN ของคุณจากนั้นเสียบคอมพิวเตอร์เข้ากับฮับและติดตั้งเครื่องตรวจสอบปริมาณการใช้งานเช่น Microsoft Network Monitor หรือ Wire Shark

http://www.wireshark.org/

จากนั้นคุณจะสามารถตรวจสอบทุกอย่างที่เกิดขึ้นและตั้งค่าตัวกรอง ฯลฯ


ในเราเตอร์ DD-WRT ของฉันฉันมีนโยบายการปฏิเสธขาออกที่เป็นค่าเริ่มต้นจากนั้นเปิดพอร์ตเฉพาะจากที่อยู่ IP ที่เฉพาะเจาะจงและเห็นได้ชัดว่าฉันเปิดพอร์ตทั่วไปให้กับ IP ทั้งหมดเช่น 80, 443 เป็นต้น
Charles Gargent

+1 สำหรับ wireshark การตรวจสอบปริมาณการใช้เครือข่ายจะเป็นวิธีที่ฉันตั้งไว้
Joe Taylor

นอกจากนี้ยังมีการตรวจสอบเครือข่าย MS 3 ซึ่งมีฟังก์ชั่นเหมือนกันมากฉันไม่สามารถโพสต์ลิงค์ได้เนื่องจากฉันไม่มีคะแนนมากพอ :(
Charles Gargent

4

เป็นเวลานานแล้วที่ฉันได้เล่นกับ DD-WRT แต่ในเราเตอร์ระดับธุรกิจส่วนใหญ่พวกเขามีความสามารถในการเขียนบันทึกในแต่ละครั้งที่กฎไฟร์วอลล์ตรงกัน

ฉันจะสร้างกฎไฟร์วอลล์สำหรับพอร์ต 25 (สมมติว่า Mass Mailer ใช้พอร์ต SMTP มาตรฐาน) และให้เขียนบันทึกด้วย IP ต้นทางทุกครั้งที่เกิดขึ้น มันควรจะง่ายต่อการค้นหาผู้กระทำผิด


มันเป็นวิธีเดียวที่จะแน่ใจ
Zoredache

2
@Zoredache อย่างแน่นอน และเมื่อคุณรับประกันราคาของการสร้างเครื่องจักรใหม่หลังจากที่ nuke และเวลาที่ใช้ในการแก้ไขมันจะทำให้มีความสมเหตุสมผลทางเศรษฐกิจมากขึ้นเพียงแค่ทำการจำลองภาพอีกครั้ง โดยเฉพาะอย่างยิ่งเมื่อคุณคำนึงถึงต้นทุนที่อาจเกิดขึ้นกับ บริษัท ด้วยการปล่อยให้เครื่องที่ติดเชื้อเข้าสู่เครือข่ายขององค์กร
Mark Henderson

+1 nuke ที่ sucka :) ... และสิ่งที่สร้างสรรค์: หาก DD-WRT สามารถทำ netflow ซึ่งเป็นอีกทางเลือกหนึ่งในการดูว่าใครกำลังส่งทราฟฟิก SMTP จำนวนมาก
Zypher

1
+1 และคุณควรบล็อกพอร์ตขาออก 25 จากเครื่องใด ๆ ยกเว้นเซิร์ฟเวอร์อีเมลของคุณ!
James

1
น่ารำคาญแน่นอน แต่ฉันค่อนข้างน่ารำคาญนิดหน่อยกว่ามีสแปมที่มาจากเครือข่ายของฉัน ฉันไม่มีปัญหากับบัญชีอีเมลส่วนตัว - พวกเขาสามารถถ่ายทอดผ่านเซิร์ฟเวอร์ขององค์กรหรือใช้พอร์ต 587 ไปยังเซิร์ฟเวอร์ SMTP ของผู้ให้บริการ
James

1

ฉันไม่แน่ใจว่าจะติดตามอย่างไรหากไม่มีการบันทึก netflow หรือ SNMP แต่จะแนะนำให้คุณ จำกัด การรับส่งข้อมูล SMTP ขาออกไปยังเซิร์ฟเวอร์อีเมลของคุณ

ด้านล่างถือว่า IP เมลเซิร์ฟเวอร์เป็น 192.168.1.2 บนเครือข่าย 192.168.1.0/24

iptables -I FORWARD 1 -p tcp -s 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD 2 -p tcp -s 192.168.1.1/24 --dport 25 -j REJECT

0

ติดตั้งมอนิเตอร์เครือข่ายหรือแอปพลิเคชันดมกลิ่นแพ็คเก็ตเพื่อดูว่ามีอะไรเกิดขึ้นในเครือข่ายของคุณ จากนั้นคุณควรจะสามารถคิดได้ว่าเวิร์กสเตชันใดที่ส่งการรับส่งข้อมูล SMTP ทั้งหมด โชคดี!


0

ลองใช้ Wireshark - นั่นคือสิ่งที่ บริษัท ของเราแนะนำให้คนเมื่อเรารายงานปัญหาดังกล่าว:

http://frontiernet.net/~tech962/findthespambot/index.html

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.