Jump to content
Калькуляторы

Как найти спамера в сети? попадаем в список stopforumspam

Всем привет. Подскажите, как найти спамера в сети? банят общий IP и вся сеть не может попасть на определенные сайты (авито к примеру)

Попадает наш ИП (тот через который натим) в stopforumspam

 

15-Sep-13 10:54 188.xxx.xx.38 RobertBZ alex55555alexnk@gmail.com Россия Подробности

15-Sep-13 10:18 188.xxx.xx.38 KXJuan alex55555alexnk@gmail.com Россия Подробности

12-Sep-13 14:42 188.xxx.xx.38 Napysmamise alex55555alexnk@gmail.com Россия

11-Sep-13 18:56 188.xxx.xx.38 Hitteestejurf alex55555alexnk@gmail.com Россия

10-Sep-13 13:41 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com Россия

10-Sep-13 13:36 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com

Share this post


Link to post
Share on other sites

Я так понял что спамят на форумы, через что то типо хрумер

Share this post


Link to post
Share on other sites

Заткнуть 25 порт? Перенаправить его на свой SMTP и преферансом и барышнями? Использовать на НАТе ограничение сессий на 25 порт?

Share this post


Link to post
Share on other sites

вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений...

Share this post


Link to post
Share on other sites

Как вариант, отзеркалить трафик до НАТа, и потом через tcpdump и сигнаруты спам-софта смотреть активность.

Share this post


Link to post
Share on other sites

может попробовать весь трафик на 80 порт прогнать через прокси? Или как там посоветовали, использовать DPI(если есть, софтварного решения) ?

Share this post


Link to post
Share on other sites

Почту не поможет, оно там по тлс/ссл ходит.

Проксировать/зеркалировать все пакеты на указанный форум и искать там в пакетах это мыло.

Share this post


Link to post
Share on other sites

а не подскажите, чем читать поток на поиск этого адреса? попробовал записать все tcpdump -i eth2 -w dump.pcap 'tcp port 80'

Share this post


Link to post
Share on other sites

В netflow искать аномально большое кол-во сессий на 80 порт с минимальным размером отправляемых данных 700-800 байт (POST запросы можно отличить от GET по размеру).

Иногда видно, как запросы отправляются через с точностью до секунды равные промежутки времени, при нулевой остальной активности.

 

Если зеркалировать трафик, то URL'ы из него можно вытащить snort'ом

Share this post


Link to post
Share on other sites

1) Искать перечисленные емейлы через ngrep в исходящем http-трафике.

Медленно, но лучше, чем ничего.

 

2) В локальном DNS завести назначить локальный IP одному из форумов,

которые любит бомбить хрумер, и посмотреть, кто на него пойдёт.

 

Можно даже поднять там какой-нибудь сайт на движке, известном хрумеру,

и смотреть на ip-адреса спам-комментариев.

 

Простого решения нет, т.к. хрумер не имеет фиксированных сигнатур,

а наоборот - максимально маскируется под обычного пользователя.

Share this post


Link to post
Share on other sites

а как задампить ppp тунели?

Пробовал дампить интерфейс что смотрит в сеть с фильтром на 80 порт, получаю не то что надо...

Share this post


Link to post
Share on other sites

пока получил такое

tcpdump -pi any -w dump.pcap 'tcp port 80 and src net 192.168.0.0/16'

но все равно много лишнего, как еще можно ужать до того что бы только POST запросы попадали?

Share this post


Link to post
Share on other sites

вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений...

 

Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала. Скорее всего позволит сузить круг поиска. ну мне так кажется :) у меня не pp* соединения, и я имею возможность запустить какой нить urlsnarf до ната на всем трафике.. Хуже если они опрашивают внешний DNS.

 

Ну и вообще, когда увеличили пул внешних адресов в нате и соответственно сократили количество народу на 1 IP жить стало сильно проще.. И искать, если че, проще.

Share this post


Link to post
Share on other sites
Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала.

Оно может быть в локальном кеше винды и софтины, так что мониторинг запросто может ничего не дать.

Share this post


Link to post
Share on other sites

ну я же не написал, что поможет :) Может помочь, часто запросы таки есть...

Share this post


Link to post
Share on other sites

Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него. 

Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле)

Edited by Андро

Share this post


Link to post
Share on other sites
32 минуты назад, Андро сказал:

Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него.  

Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле)

 

если форум не большой то никак не избежать , по интересам и слогу он вас вычислит

а так другое устройство, другой браузер, другой оператор

 

Share this post


Link to post
Share on other sites

@LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? 

Share this post


Link to post
Share on other sites
1 час назад, Андро сказал:

@LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? 

Сделайте свой форум с блэк джеком и ***ми.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this