Назад | Перейти на главную страницу

Как вы обнаруживаете спам-бота в своей сети?

Я помогаю управлять небольшой сетью из 40 компьютеров. Мы используем почтовый сервер Exchange 2003.

Как лучше всего узнать, какая машина заражена спам-ботом? Я пробовал устанавливать антивирусные программы и программы защиты от вредоносных программ на каждый компьютер. После сканирования компьютеров я нашел несколько, на которых было много вредоносных программ, и подумал, что наша проблема решена. Однако наш домен продолжает блокироваться черными списками DNS, и мне приходится удалять их ежедневно, чтобы наши клиенты получали нашу электронную почту.

Примечание. Нас атакуют тактики Directory Harvest и Backscatter.

изменить: наш почтовый сервер работает как DNS-сервер. Может ли это открыть уязвимости для спам-атак?

Во-первых, вам нужно остановить спам.
а- установите брандмауэр на не разрешить исходящий SMTP / POP за исключением почтового сервера.
б- установите свой почтовый сервер на не разрешить исходящую ретрансляцию.

Затем вам нужно найти проблемные машины.
1- Посмотрите журналы брандмауэра, чтобы узнать, какие машины на самом деле пытаются отправлять исходящую почту и блокируются. Эти машины заражены.
2- Убедитесь, что на каждой машине есть текущий A / V, и выполните тщательное сканирование на каждой машине.
3- Вы можете установить брандмауэр Windows на каждом компьютере.
4- Если все еще не найдено, вам нужно будет использовать сниффер.

Примечание: я не думаю, что DNS и электронная почта на одном сервере являются проблемой.

Проблема может заключаться в том, что ваш сервер обмена разрешает RELAY. Убедитесь, что этот параметр отключен, или установите только те IP-адреса, которым разрешено ретранслировать через этот сервер. Дизайн вашей сети должен позволять серверу обмена отправлять трафик из вашей сети только через порт 25.

Большинство спам-ботов используют порт 25. После такой настройки, если какая-либо другая машина попытается отправить через порт 25, это отобразится в журналах брандмауэра.

Удачи!

  1. Вам следует понюхать свой сетевой трафик. Доступно множество хороших инструментов, от простых дампов пакетов, подобных tcpdump, до причудливых приложений визуализации графического интерфейса. Обычно вам необходимо: а) подключиться к специальному порту на вашем коммутаторе, б) настроить другой порт для просмотра всего трафика, или в) выполнить сниффинг с вашего брандмауэра / маршрутизатора. Сначала просто сосредоточьтесь на поиске SMTP-трафика во внешний мир с любого компьютера, кроме сервера Exchange. Позже вам следует проверить весь трафик, чтобы увидеть, не происходит ли что-нибудь еще: например, IRC с чьей-то машины, которая даже не знает, что такое IRC.
  2. Напишите простым языком, какой трафик следует разрешить вне вашей сети и внедрить правила исходящего трафика на вашем брандмауэре / маршрутизаторе с ведением журнала. Вы будете удивлены, насколько хорошо это работает. И это также будет означать, что ты будет знать, когда происходит что-то плохое перед вы слышите это со стороны!

Если у вас есть брандмауэр, простое решение - заблокировать весь исходящий трафик порта 25, кроме вашего сервера Exchange. Отдельные машины, скорее всего, сами пытаются рассылать спам. После того, как вы установили блокировку, проверьте журналы брандмауэра, чтобы узнать, какой IP-адрес пытается и не удается достичь исходящего порта 25.

Где хранятся ваши данные? Аппаратное обеспечение в основном идентично? Проще всего будет воссоздать их множество.

Раньше я использовал программу Showtraf, которая отслеживает трафик в сети. Раньше у нас была аналогичная проблема, и она показывала IP-адрес, который отправлял огромные объемы данных на порт 25.

Доступна здесь - http://demosten.com/showtraf/