Cramac Posted September 16, 2013 · Report post Всем привет. Подскажите, как найти спамера в сети? банят общий IP и вся сеть не может попасть на определенные сайты (авито к примеру) Попадает наш ИП (тот через который натим) в stopforumspam 15-Sep-13 10:54 188.xxx.xx.38 RobertBZ alex55555alexnk@gmail.com Россия Подробности 15-Sep-13 10:18 188.xxx.xx.38 KXJuan alex55555alexnk@gmail.com Россия Подробности 12-Sep-13 14:42 188.xxx.xx.38 Napysmamise alex55555alexnk@gmail.com Россия 11-Sep-13 18:56 188.xxx.xx.38 Hitteestejurf alex55555alexnk@gmail.com Россия 10-Sep-13 13:41 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com Россия 10-Sep-13 13:36 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com Share this post Link to post Share on other sites
st_re Posted September 16, 2013 · Report post считать smtp сессии до ната ? Share this post Link to post Share on other sites
Cramac Posted September 16, 2013 · Report post Я так понял что спамят на форумы, через что то типо хрумер Share this post Link to post Share on other sites
sol Posted September 16, 2013 · Report post Заткнуть 25 порт? Перенаправить его на свой SMTP и преферансом и барышнями? Использовать на НАТе ограничение сессий на 25 порт? Share this post Link to post Share on other sites
st_re Posted September 16, 2013 · Report post IP форума узнать и смотреть до ната.. Share this post Link to post Share on other sites
Cramac Posted September 16, 2013 · Report post вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений... Share this post Link to post Share on other sites
taf_321 Posted September 16, 2013 · Report post Как вариант, отзеркалить трафик до НАТа, и потом через tcpdump и сигнаруты спам-софта смотреть активность. Share this post Link to post Share on other sites
Cramac Posted September 16, 2013 · Report post может попробовать весь трафик на 80 порт прогнать через прокси? Или как там посоветовали, использовать DPI(если есть, софтварного решения) ? Share this post Link to post Share on other sites
Ivan_83 Posted September 16, 2013 · Report post Почту не поможет, оно там по тлс/ссл ходит. Проксировать/зеркалировать все пакеты на указанный форум и искать там в пакетах это мыло. Share this post Link to post Share on other sites
Cramac Posted September 16, 2013 · Report post а не подскажите, чем читать поток на поиск этого адреса? попробовал записать все tcpdump -i eth2 -w dump.pcap 'tcp port 80' Share this post Link to post Share on other sites
littlesavage Posted September 16, 2013 · Report post В netflow искать аномально большое кол-во сессий на 80 порт с минимальным размером отправляемых данных 700-800 байт (POST запросы можно отличить от GET по размеру). Иногда видно, как запросы отправляются через с точностью до секунды равные промежутки времени, при нулевой остальной активности. Если зеркалировать трафик, то URL'ы из него можно вытащить snort'ом Share this post Link to post Share on other sites
Cramac Posted September 16, 2013 · Report post пробую смотреть через Wireshark Share this post Link to post Share on other sites
Ilya Evseev Posted September 16, 2013 · Report post 1) Искать перечисленные емейлы через ngrep в исходящем http-трафике. Медленно, но лучше, чем ничего. 2) В локальном DNS завести назначить локальный IP одному из форумов, которые любит бомбить хрумер, и посмотреть, кто на него пойдёт. Можно даже поднять там какой-нибудь сайт на движке, известном хрумеру, и смотреть на ip-адреса спам-комментариев. Простого решения нет, т.к. хрумер не имеет фиксированных сигнатур, а наоборот - максимально маскируется под обычного пользователя. Share this post Link to post Share on other sites
Cramac Posted September 16, 2013 · Report post а как задампить ppp тунели? Пробовал дампить интерфейс что смотрит в сеть с фильтром на 80 порт, получаю не то что надо... Share this post Link to post Share on other sites
Ilya Evseev Posted September 16, 2013 · Report post как задампить ppp тунели? В линуксе tcpdump -pi any ... Share this post Link to post Share on other sites
Cramac Posted September 16, 2013 · Report post пока получил такое tcpdump -pi any -w dump.pcap 'tcp port 80 and src net 192.168.0.0/16' но все равно много лишнего, как еще можно ужать до того что бы только POST запросы попадали? Share this post Link to post Share on other sites
srg555 Posted September 16, 2013 · Report post iptables + m string + j ulog + ulogd Share this post Link to post Share on other sites
st_re Posted September 17, 2013 · Report post вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений... Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала. Скорее всего позволит сузить круг поиска. ну мне так кажется :) у меня не pp* соединения, и я имею возможность запустить какой нить urlsnarf до ната на всем трафике.. Хуже если они опрашивают внешний DNS. Ну и вообще, когда увеличили пул внешних адресов в нате и соответственно сократили количество народу на 1 IP жить стало сильно проще.. И искать, если че, проще. Share this post Link to post Share on other sites
Cramac Posted September 17, 2013 · Report post да, днс у нас опрашивает внешний... Share this post Link to post Share on other sites
Ivan_83 Posted September 17, 2013 · Report post Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала. Оно может быть в локальном кеше винды и софтины, так что мониторинг запросто может ничего не дать. Share this post Link to post Share on other sites
st_re Posted September 17, 2013 · Report post ну я же не написал, что поможет :) Может помочь, часто запросы таки есть... Share this post Link to post Share on other sites
Андро Posted June 25 (edited) · Report post Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него. Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле) Edited June 25 by Андро Share this post Link to post Share on other sites
LostSoul Posted June 25 · Report post 32 минуты назад, Андро сказал: Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него. Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле) если форум не большой то никак не избежать , по интересам и слогу он вас вычислит а так другое устройство, другой браузер, другой оператор Share this post Link to post Share on other sites
Андро Posted June 25 · Report post @LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? Share this post Link to post Share on other sites
TheUser Posted June 25 · Report post 1 час назад, Андро сказал: @LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? Сделайте свой форум с блэк джеком и ***ми. Share this post Link to post Share on other sites
