Я был уведомлен моим isp, что одна из моих машин отсылает спам. Это произошло приблизительно 3 месяца назад на машине окон, работающей cygwin, который был взломан из-за SSH vuln.
Хакеры устанавливают IIS и SMTP. Я убрал машину, и все сервисы отключены так, я думаю, что машина хорошо
Я задаюсь вопросом, существует ли какой-либо другой способ определить, из какой машины он мог прибывать?
ISP не имеет НИКАКОЙ полезной информации, такой как исходный порт, целевой порт, целевой IP... ничего.
Я выполняю DD-WRT на своем маршрутизаторе, Windows 7 PC и ПК Windows XP.
Вы могли соединить концентратор, промежуточный маршрутизатор и Ваша LAN, и затем включить компьютер в концентратор и установить транспортный монитор на нем, такой как монитор сети Microsoft или соединить акулу проводом
Вы затем сможете контролировать все, что продолжается и настроенные фильтры и т.д.
Я также не уверен, как отследить без входа SNMP или netflow. Но рекомендовал бы просто ограничить исходящий трафик SMTP почтовым сервером (серверами)
Ниже принимает IP почтового сервера 192.168.1.2 в сети 192.168.1.0/24
iptables -I FORWARD 1 -p tcp -s 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD 2 -p tcp -s 192.168.1.1/24 --dport 25 -j REJECT
Это было долгое время, так как я играл с DD-WRT, но на большинстве маршрутизаторов бизнес-уровня у них есть способность записать журналу каждый раз, когда правило брандмауэра подобрано.
Я создал бы правило брандмауэра для Порта 25 (предполагающий, что массовая почтовая программа использует стандартный порт SMTP), и заставьте это писать журнал с исходным IP каждый раз, когда это происходит. Должно затем быть довольно легко определить местоположение преступника.
Установите монитор сети или приложение анализатора пакетов для наблюдения то, что продолжается в сети. Необходимо затем смочь выяснить, какая рабочая станция отсылает весь трафик SMTP.Удачи!
Дайте Wireshark попытку - это - то, что наша компания предлагает людям, когда мы сообщаем о таких проблемах им: