dzigy Опубликовано 6 августа, 2013 · Жалоба Здравствуйте! Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 6 августа, 2013 · Жалоба Здравствуйте! Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета. tcpdump -Aens0 'host somehost and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' | awk '/ethertype/{ip=$10} /GET.*EVILSTRING/{sub(/.+GET /,"");print ip" "$1}' Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 6 августа, 2013 (изменено) · Жалоба yandex.ru. 3600 IN MX 10 mx.yandex.ru. mx.yandex.ru. 3600 IN A 77.88.21.89 mx.yandex.ru. 3600 IN A 87.250.250.89 mx.yandex.ru. 3600 IN A 93.158.134.89 mx.yandex.ru. 3600 IN A 213.180.193.89 mx.yandex.ru. 3600 IN A 213.180.204.89 tcpdump соответственно надо на mx.yandex.ru Изменено 6 августа, 2013 пользователем MMM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dzigy Опубликовано 6 августа, 2013 · Жалоба Здравствуйте! Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета. tcpdump -Aens0 'host somehost and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' | awk '/ethertype/{ip=$10} /GET.*EVILSTRING/{sub(/.+GET /,"");print ip" "$1}' Спасибо огромное! Сделал, прождал минут 20 - на экране ничего , потому добавил еще -w dump.log . Туда попало порядка 5 серых ай-пишек, это и есть спамеры? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dzigy Опубликовано 6 августа, 2013 · Жалоба yandex.ru. 3600 IN MX 10 mx.yandex.ru. mx.yandex.ru. 3600 IN A 77.88.21.89 mx.yandex.ru. 3600 IN A 87.250.250.89 mx.yandex.ru. 3600 IN A 93.158.134.89 mx.yandex.ru. 3600 IN A 213.180.193.89 mx.yandex.ru. 3600 IN A 213.180.204.89 tcpdump соответственно надо на mx.yandex.ru Спасибо, сейчас попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 6 августа, 2013 · Жалоба Спасибо огромное! Сделал, прождал минут 20 - на экране ничего , потому добавил еще -w dump.log . Туда попало порядка 5 серых ай-пишек, это и есть спамеры? Это пары srcaddr-url, содержащие evilstring. Смотрите на них и делайте выводы. 5 сговорившихся спамеров -- маловероятно, скорее вирусы или кривой софт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 13 августа, 2013 (изменено) · Жалоба Ищи здесь spamblock.pl У меня реально работает и блочит до nat, хоть под FreeBSD, хоть под Ubunty Для разовых поисков - trafshow -n -i (внутр.инт) port 25 - в онлайне сразу увидишь бота по огромному количеству иходящих коннектов. Изменено 13 августа, 2013 пользователем YuryD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telecom Опубликовано 13 августа, 2013 · Жалоба http://nix-sa.blogspot.ru/2010/12/spamblock.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...