[Cramac]

Всем привет. Подскажите, как найти спамера в сети? банят общий IP и вся сеть не может попасть на определенные сайты (авито к примеру)

Попадает наш ИП (тот через который натим) в stopforumspam

 

15-Sep-13 10:54 188.xxx.xx.38 RobertBZ alex55555alexnk@gmail.com Россия Подробности

15-Sep-13 10:18 188.xxx.xx.38 KXJuan alex55555alexnk@gmail.com Россия Подробности

12-Sep-13 14:42 188.xxx.xx.38 Napysmamise alex55555alexnk@gmail.com Россия

11-Sep-13 18:56 188.xxx.xx.38 Hitteestejurf alex55555alexnk@gmail.com Россия

10-Sep-13 13:41 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com Россия

10-Sep-13 13:36 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com

[st_re]

считать smtp сессии до ната ?

[Cramac]

Я так понял что спамят на форумы, через что то типо хрумер

[sol]

Заткнуть 25 порт? Перенаправить его на свой SMTP и преферансом и барышнями? Использовать на НАТе ограничение сессий на 25 порт?

[st_re]

IP форума узнать и смотреть до ната..

[Cramac]

вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений...

[taf_321]

Как вариант, отзеркалить трафик до НАТа, и потом через tcpdump и сигнаруты спам-софта смотреть активность.

[Cramac]

может попробовать весь трафик на 80 порт прогнать через прокси? Или как там посоветовали, использовать DPI(если есть, софтварного решения) ?

[Ivan_83]

Почту не поможет, оно там по тлс/ссл ходит.

Проксировать/зеркалировать все пакеты на указанный форум и искать там в пакетах это мыло.

[Cramac]

а не подскажите, чем читать поток на поиск этого адреса? попробовал записать все tcpdump -i eth2 -w dump.pcap 'tcp port 80'

[littlesavage]

В netflow искать аномально большое кол-во сессий на 80 порт с минимальным размером отправляемых данных 700-800 байт (POST запросы можно отличить от GET по размеру).

Иногда видно, как запросы отправляются через с точностью до секунды равные промежутки времени, при нулевой остальной активности.

 

Если зеркалировать трафик, то URL'ы из него можно вытащить snort'ом

[Cramac]

пробую смотреть через Wireshark

[Ilya Evseev]

1) Искать перечисленные емейлы через ngrep в исходящем http-трафике.

Медленно, но лучше, чем ничего.

 

2) В локальном DNS завести назначить локальный IP одному из форумов,

которые любит бомбить хрумер, и посмотреть, кто на него пойдёт.

 

Можно даже поднять там какой-нибудь сайт на движке, известном хрумеру,

и смотреть на ip-адреса спам-комментариев.

 

Простого решения нет, т.к. хрумер не имеет фиксированных сигнатур,

а наоборот - максимально маскируется под обычного пользователя.

[Cramac]

а как задампить ppp тунели?

Пробовал дампить интерфейс что смотрит в сеть с фильтром на 80 порт, получаю не то что надо...

[Ilya Evseev]

как задампить ppp тунели?

В линуксе tcpdump -pi any ...

[Cramac]

пока получил такое

tcpdump -pi any -w dump.pcap 'tcp port 80 and src net 192.168.0.0/16'

но все равно много лишнего, как еще можно ужать до того что бы только POST запросы попадали?

[srg555]

iptables + m string + j ulog + ulogd

[st_re]

вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений...

 

Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала. Скорее всего позволит сузить круг поиска. ну мне так кажется :) у меня не pp* соединения, и я имею возможность запустить какой нить urlsnarf до ната на всем трафике.. Хуже если они опрашивают внешний DNS.

 

Ну и вообще, когда увеличили пул внешних адресов в нате и соответственно сократили количество народу на 1 IP жить стало сильно проще.. И искать, если че, проще.

[Cramac]

да, днс у нас опрашивает внешний...

[Ivan_83]

Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала.

Оно может быть в локальном кеше винды и софтины, так что мониторинг запросто может ничего не дать.

[st_re]

ну я же не написал, что поможет :) Может помочь, часто запросы таки есть...

[Андро]

Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него. 

Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле)

Изменено 25 июня, 2020 пользователем Андро

[LostSoul]

32 минуты назад, Андро сказал:

Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него.  

Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле)

 

если форум не большой то никак не избежать , по интересам и слогу он вас вычислит

а так другое устройство, другой браузер, другой оператор

 

[Андро]

@LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? 

[TheUser]

1 час назад, Андро сказал:

@LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? 

Сделайте свой форум с блэк джеком и ***ми.