Jump to content

Отловить спамеров на шлюзе

dzigy
 Share

Recommended Posts

dzigy

dzigy

Posted
Posted

Здравствуйте!

Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета.

ixi

ixi

Posted
Posted

Здравствуйте!

Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета.

tcpdump -Aens0 'host somehost and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' | awk '/ethertype/{ip=$10} /GET.*EVILSTRING/{sub(/.+GET /,"");print ip" "$1}'

MMM

MMM

Posted
Posted (edited)

yandex.ru. 3600 IN MX 10 mx.yandex.ru.

 

mx.yandex.ru. 3600 IN A 77.88.21.89

mx.yandex.ru. 3600 IN A 87.250.250.89

mx.yandex.ru. 3600 IN A 93.158.134.89

mx.yandex.ru. 3600 IN A 213.180.193.89

mx.yandex.ru. 3600 IN A 213.180.204.89

 

tcpdump соответственно надо на mx.yandex.ru

Edited by MMM
dzigy

dzigy

Posted
  • Author
Posted

Здравствуйте!

Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета.

tcpdump -Aens0 'host somehost and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' | awk '/ethertype/{ip=$10} /GET.*EVILSTRING/{sub(/.+GET /,"");print ip" "$1}'

Спасибо огромное! Сделал, прождал минут 20 - на экране ничего , потому добавил еще -w dump.log . Туда попало порядка 5 серых ай-пишек, это и есть спамеры?

dzigy

dzigy

Posted
  • Author
Posted

yandex.ru. 3600 IN MX 10 mx.yandex.ru.

 

mx.yandex.ru. 3600 IN A 77.88.21.89

mx.yandex.ru. 3600 IN A 87.250.250.89

mx.yandex.ru. 3600 IN A 93.158.134.89

mx.yandex.ru. 3600 IN A 213.180.193.89

mx.yandex.ru. 3600 IN A 213.180.204.89

 

tcpdump соответственно надо на mx.yandex.ru

Спасибо, сейчас попробую.

ixi

ixi

Posted
Posted
Спасибо огромное! Сделал, прождал минут 20 - на экране ничего , потому добавил еще -w dump.log . Туда попало порядка 5 серых ай-пишек, это и есть спамеры?

 

Это пары srcaddr-url, содержащие evilstring. Смотрите на них и делайте выводы. 5 сговорившихся спамеров -- маловероятно, скорее вирусы или кривой софт.

YuryD

YuryD

Posted
Posted (edited)

Ищи здесь spamblock.pl У меня реально работает и блочит до nat, хоть под FreeBSD, хоть под Ubunty

Для разовых поисков - trafshow -n -i (внутр.инт) port 25 - в онлайне сразу увидишь бота по огромному количеству иходящих коннектов.

Edited by YuryD

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.