Перейти к содержимому
Калькуляторы

Отловить спамеров на шлюзе

Здравствуйте!

Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета.

tcpdump -Aens0 'host somehost and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' | awk '/ethertype/{ip=$10} /GET.*EVILSTRING/{sub(/.+GET /,"");print ip" "$1}'

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

yandex.ru. 3600 IN MX 10 mx.yandex.ru.

 

mx.yandex.ru. 3600 IN A 77.88.21.89

mx.yandex.ru. 3600 IN A 87.250.250.89

mx.yandex.ru. 3600 IN A 93.158.134.89

mx.yandex.ru. 3600 IN A 213.180.193.89

mx.yandex.ru. 3600 IN A 213.180.204.89

 

tcpdump соответственно надо на mx.yandex.ru

Изменено пользователем MMM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

Имеется сеточка около 100 Пк за натом(freebsd). Завелся спамер в сети - бомбит автоматическими запросами яндекс. Смотрел tcpdump -i igb1 -n host yandex.ru , но отловить пока не удалось.Из яндекса отписались, что все автоматические запросы к ним обьединяет подстрока domain:com&numdoc=10 . Прошу вашего совета.

tcpdump -Aens0 'host somehost and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420' | awk '/ethertype/{ip=$10} /GET.*EVILSTRING/{sub(/.+GET /,"");print ip" "$1}'

Спасибо огромное! Сделал, прождал минут 20 - на экране ничего , потому добавил еще -w dump.log . Туда попало порядка 5 серых ай-пишек, это и есть спамеры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

yandex.ru. 3600 IN MX 10 mx.yandex.ru.

 

mx.yandex.ru. 3600 IN A 77.88.21.89

mx.yandex.ru. 3600 IN A 87.250.250.89

mx.yandex.ru. 3600 IN A 93.158.134.89

mx.yandex.ru. 3600 IN A 213.180.193.89

mx.yandex.ru. 3600 IN A 213.180.204.89

 

tcpdump соответственно надо на mx.yandex.ru

Спасибо, сейчас попробую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо огромное! Сделал, прождал минут 20 - на экране ничего , потому добавил еще -w dump.log . Туда попало порядка 5 серых ай-пишек, это и есть спамеры?

 

Это пары srcaddr-url, содержащие evilstring. Смотрите на них и делайте выводы. 5 сговорившихся спамеров -- маловероятно, скорее вирусы или кривой софт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ищи здесь spamblock.pl У меня реально работает и блочит до nat, хоть под FreeBSD, хоть под Ubunty

Для разовых поисков - trafshow -n -i (внутр.инт) port 25 - в онлайне сразу увидишь бота по огромному количеству иходящих коннектов.

Изменено пользователем YuryD

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.