Cramac Опубликовано 16 сентября, 2013 Всем привет. Подскажите, как найти спамера в сети? банят общий IP и вся сеть не может попасть на определенные сайты (авито к примеру) Попадает наш ИП (тот через который натим) в stopforumspam 15-Sep-13 10:54 188.xxx.xx.38 RobertBZ alex55555alexnk@gmail.com Россия Подробности 15-Sep-13 10:18 188.xxx.xx.38 KXJuan alex55555alexnk@gmail.com Россия Подробности 12-Sep-13 14:42 188.xxx.xx.38 Napysmamise alex55555alexnk@gmail.com Россия 11-Sep-13 18:56 188.xxx.xx.38 Hitteestejurf alex55555alexnk@gmail.com Россия 10-Sep-13 13:41 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com Россия 10-Sep-13 13:36 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 16 сентября, 2013 считать smtp сессии до ната ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 Я так понял что спамят на форумы, через что то типо хрумер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 16 сентября, 2013 Заткнуть 25 порт? Перенаправить его на свой SMTP и преферансом и барышнями? Использовать на НАТе ограничение сессий на 25 порт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 16 сентября, 2013 IP форума узнать и смотреть до ната.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 16 сентября, 2013 Как вариант, отзеркалить трафик до НАТа, и потом через tcpdump и сигнаруты спам-софта смотреть активность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 может попробовать весь трафик на 80 порт прогнать через прокси? Или как там посоветовали, использовать DPI(если есть, софтварного решения) ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 сентября, 2013 Почту не поможет, оно там по тлс/ссл ходит. Проксировать/зеркалировать все пакеты на указанный форум и искать там в пакетах это мыло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 а не подскажите, чем читать поток на поиск этого адреса? попробовал записать все tcpdump -i eth2 -w dump.pcap 'tcp port 80' Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 16 сентября, 2013 В netflow искать аномально большое кол-во сессий на 80 порт с минимальным размером отправляемых данных 700-800 байт (POST запросы можно отличить от GET по размеру). Иногда видно, как запросы отправляются через с точностью до секунды равные промежутки времени, при нулевой остальной активности. Если зеркалировать трафик, то URL'ы из него можно вытащить snort'ом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 пробую смотреть через Wireshark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 16 сентября, 2013 1) Искать перечисленные емейлы через ngrep в исходящем http-трафике. Медленно, но лучше, чем ничего. 2) В локальном DNS завести назначить локальный IP одному из форумов, которые любит бомбить хрумер, и посмотреть, кто на него пойдёт. Можно даже поднять там какой-нибудь сайт на движке, известном хрумеру, и смотреть на ip-адреса спам-комментариев. Простого решения нет, т.к. хрумер не имеет фиксированных сигнатур, а наоборот - максимально маскируется под обычного пользователя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 а как задампить ppp тунели? Пробовал дампить интерфейс что смотрит в сеть с фильтром на 80 порт, получаю не то что надо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 16 сентября, 2013 как задампить ppp тунели? В линуксе tcpdump -pi any ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 пока получил такое tcpdump -pi any -w dump.pcap 'tcp port 80 and src net 192.168.0.0/16' но все равно много лишнего, как еще можно ужать до того что бы только POST запросы попадали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 16 сентября, 2013 iptables + m string + j ulog + ulogd Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 сентября, 2013 вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений... Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала. Скорее всего позволит сузить круг поиска. ну мне так кажется :) у меня не pp* соединения, и я имею возможность запустить какой нить urlsnarf до ната на всем трафике.. Хуже если они опрашивают внешний DNS. Ну и вообще, когда увеличили пул внешних адресов в нате и соответственно сократили количество народу на 1 IP жить стало сильно проще.. И искать, если че, проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 17 сентября, 2013 да, днс у нас опрашивает внешний... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 сентября, 2013 Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала. Оно может быть в локальном кеше винды и софтины, так что мониторинг запросто может ничего не дать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 сентября, 2013 ну я же не написал, что поможет :) Может помочь, часто запросы таки есть... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Андро Опубликовано 25 июня, 2020 (изменено) Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него. Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле) Изменено 25 июня, 2020 пользователем Андро Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 25 июня, 2020 32 минуты назад, Андро сказал: Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него. Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле) если форум не большой то никак не избежать , по интересам и слогу он вас вычислит а так другое устройство, другой браузер, другой оператор Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Андро Опубликовано 25 июня, 2020 @LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 25 июня, 2020 1 час назад, Андро сказал: @LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? Сделайте свой форум с блэк джеком и ***ми. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...