Como você detecta um spambot na sua rede?

Navegue suas respostas
6

Eu ajudo a gerenciar uma pequena rede de cerca de 40 computadores. Estamos executando um servidor de email do Exchange 2003.

Qual é a melhor maneira de descobrir qual máquina está infectada por um spambot? Eu tentei instalar programas anti-vírus e anti-malware em cada computador. Depois de escanear os computadores, encontrei alguns que tinham muitos programas maliciosos e achei que nosso problema estava resolvido. No entanto, nosso domínio continua sendo bloqueado por listas negras de DNS e eu tenho que removê-los diariamente para que nossos clientes recebam nossos e-mails.

Observação: estamos sendo atacados pelas táticas Directory Harvest e Backscatter.

edit: nosso servidor de e-mail funciona como um servidor DNS. Isso poderia abrir vulnerabilidades para ataques de spam?

    
por mav 28.05.2009 / 16:54

6 respostas

6

Primeiro, você precisa parar o spam.
a- defina seu firewall para não permitir SMTP / POP de saída, exceto do servidor de e-mail.
b- defina seu servidor de e-mail para não permitir retransmissão de saída.

Em seguida, você precisa encontrar a (s) máquina (s) problemática (s). 1- Observe os logs do firewall para ver quais máquinas estão realmente tentando enviar e-mails bloqueados. Essas máquinas estão infectadas.
2- Certifique-se de que cada máquina possui corrente A / V e faça uma varredura completa em cada máquina. 3- Você pode querer implementar o Firewall do Windows em cada máquina. 4- Se ainda não for encontrado, você precisará usar um sniffer.

Observação: não acho que o DNS e o e-mail no mesmo servidor sejam um problema.

    
por 28.05.2009 / 19:21
3

O problema pode ser que o seu servidor de troca esteja permitindo o RELAY. Certifique-se de que a configuração está desativada ou defina somente os IPs que podem retransmitir por meio desse servidor. Seu projeto de rede só deve permitir que o servidor do Exchange envie tráfego para fora de sua rede pela porta 25.

A maioria dos spambots usa a porta 25. Depois de ter configurado assim, se qualquer outra máquina tentar enviar via porta 25, ela aparecerá nos logs do firewall.

Boa sorte!

    
por 28.05.2009 / 17:09
1
  1. Você deve identificar seu tráfego de rede. Há muitas ferramentas interessantes disponíveis, desde despejos de pacotes simples, como o tcpdump, até aplicativos de visualização de GUI sofisticados. Normalmente, você precisará: a) conectar-se a uma porta especial do seu switch, b) configurar outra porta para ver todo o tráfego ou c) fazer o sniffing do seu firewall / roteador. Primeiro, concentre-se em encontrar o tráfego SMTP para o mundo externo de qualquer máquina que não seja o servidor do Exchange. Mais tarde, você deve examinar todo o tráfego para ver se alguma coisa está acontecendo: IRC da máquina de alguém que nem sabe o que é o IRC, por exemplo.
  2. Escreva uma declaração em linguagem simples de qual tráfego deve ser permitido fora de sua rede e implemente regras de saída em seu firewall / roteador, com o registro em log. Você ficará surpreso com o quão bem isso funciona. E também significará que você saberá quando algo ruim está acontecendo antes você ouvir de uma parte externa!
por 28.05.2009 / 17:11
1

Se você tiver um firewall, uma solução simples é bloquear todo o tráfego de saída de porta 25, exceto o servidor Exchange. Máquinas individuais provavelmente estão tentando enviar spam por conta própria. Depois de colocar o bloco no lugar, verifique os logs do firewall para ver qual IP está tentando, e falhando, para atingir a saída da porta 25.

    
por 28.05.2009 / 19:20
0

Onde seus dados são armazenados? O hardware é praticamente idêntico? Pode ser mais fácil recriar a imagem deles.

    
por 28.05.2009 / 17:08
0

Eu já usei um programa chamado Showtraf antes que monitora o tráfego na rede. Nós tivemos um problema semelhante antes e ele mostrou o ip que estava enviando vastas quantidades de dados na porta 25.

Disponível aqui - link

    
por 28.05.2009 / 17:09

Tags

PAM aceitando qualquer senha para usuários válidos como mesclar duas partições ext3 no Ubuntu a partir da linha de comando?