Cramac Опубликовано 16 сентября, 2013 · Жалоба Всем привет. Подскажите, как найти спамера в сети? банят общий IP и вся сеть не может попасть на определенные сайты (авито к примеру) Попадает наш ИП (тот через который натим) в stopforumspam 15-Sep-13 10:54 188.xxx.xx.38 RobertBZ alex55555alexnk@gmail.com Россия Подробности 15-Sep-13 10:18 188.xxx.xx.38 KXJuan alex55555alexnk@gmail.com Россия Подробности 12-Sep-13 14:42 188.xxx.xx.38 Napysmamise alex55555alexnk@gmail.com Россия 11-Sep-13 18:56 188.xxx.xx.38 Hitteestejurf alex55555alexnk@gmail.com Россия 10-Sep-13 13:41 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com Россия 10-Sep-13 13:36 188.xxx.xx.38 XRumerTest xrumertestsppi@gmail.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 16 сентября, 2013 · Жалоба считать smtp сессии до ната ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 · Жалоба Я так понял что спамят на форумы, через что то типо хрумер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 16 сентября, 2013 · Жалоба Заткнуть 25 порт? Перенаправить его на свой SMTP и преферансом и барышнями? Использовать на НАТе ограничение сессий на 25 порт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 16 сентября, 2013 · Жалоба IP форума узнать и смотреть до ната.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 · Жалоба вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 16 сентября, 2013 · Жалоба Как вариант, отзеркалить трафик до НАТа, и потом через tcpdump и сигнаруты спам-софта смотреть активность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 · Жалоба может попробовать весь трафик на 80 порт прогнать через прокси? Или как там посоветовали, использовать DPI(если есть, софтварного решения) ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 сентября, 2013 · Жалоба Почту не поможет, оно там по тлс/ссл ходит. Проксировать/зеркалировать все пакеты на указанный форум и искать там в пакетах это мыло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 · Жалоба а не подскажите, чем читать поток на поиск этого адреса? попробовал записать все tcpdump -i eth2 -w dump.pcap 'tcp port 80' Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
littlesavage Опубликовано 16 сентября, 2013 · Жалоба В netflow искать аномально большое кол-во сессий на 80 порт с минимальным размером отправляемых данных 700-800 байт (POST запросы можно отличить от GET по размеру). Иногда видно, как запросы отправляются через с точностью до секунды равные промежутки времени, при нулевой остальной активности. Если зеркалировать трафик, то URL'ы из него можно вытащить snort'ом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 · Жалоба пробую смотреть через Wireshark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 16 сентября, 2013 · Жалоба 1) Искать перечисленные емейлы через ngrep в исходящем http-трафике. Медленно, но лучше, чем ничего. 2) В локальном DNS завести назначить локальный IP одному из форумов, которые любит бомбить хрумер, и посмотреть, кто на него пойдёт. Можно даже поднять там какой-нибудь сайт на движке, известном хрумеру, и смотреть на ip-адреса спам-комментариев. Простого решения нет, т.к. хрумер не имеет фиксированных сигнатур, а наоборот - максимально маскируется под обычного пользователя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 · Жалоба а как задампить ppp тунели? Пробовал дампить интерфейс что смотрит в сеть с фильтром на 80 порт, получаю не то что надо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 16 сентября, 2013 · Жалоба как задампить ppp тунели? В линуксе tcpdump -pi any ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 16 сентября, 2013 · Жалоба пока получил такое tcpdump -pi any -w dump.pcap 'tcp port 80 and src net 192.168.0.0/16' но все равно много лишнего, как еще можно ужать до того что бы только POST запросы попадали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 16 сентября, 2013 · Жалоба iptables + m string + j ulog + ulogd Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 сентября, 2013 · Жалоба вариант интересный, но КАК его узнать, на какой из ххххх форумов спамят? ведь используя хрумер, он спамит по базе этих самых форумов... Это надо как то высмотреть пользователя, от которого идет куча запросов на регистрацию и пост сообщений... Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала. Скорее всего позволит сузить круг поиска. ну мне так кажется :) у меня не pp* соединения, и я имею возможность запустить какой нить urlsnarf до ната на всем трафике.. Хуже если они опрашивают внешний DNS. Ну и вообще, когда увеличили пул внешних адресов в нате и соответственно сократили количество народу на 1 IP жить стало сильно проще.. И искать, если че, проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 17 сентября, 2013 · Жалоба да, днс у нас опрашивает внешний... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 сентября, 2013 · Жалоба Сделать логи DNS запросов, и поискать аномально большое количество forum.* запросов.. ну для начала. Оно может быть в локальном кеше винды и софтины, так что мониторинг запросто может ничего не дать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 17 сентября, 2013 · Жалоба ну я же не написал, что поможет :) Может помочь, часто запросы таки есть... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Андро Опубликовано 25 июня, 2020 (изменено) · Жалоба Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него. Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле) Изменено 25 июня, 2020 пользователем Андро Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 25 июня, 2020 · Жалоба 32 минуты назад, Андро сказал: Друзья, подскажите, вот на одном форуме админ забанил учётку по личным мотивам. Так вот, пытаюсь с новой учётки туда попасть - регистрацию проводит, пишу 2-3 сообщения на форуме - и опять учётка в бан летит. С чем это связано? Как он вычисляет меня? Привязка идет к ай-пи адресу или к оборудованию, с которого сижу? Просто пытаюсь понять, как избежать новых банов от него. Добавлю, что сижу через моб.интернет (с телефона раздача идет по вафле) если форум не большой то никак не избежать , по интересам и слогу он вас вычислит а так другое устройство, другой браузер, другой оператор Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Андро Опубликовано 25 июня, 2020 · Жалоба @LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 25 июня, 2020 · Жалоба 1 час назад, Андро сказал: @LostSoul пробовал с разных устройств - все равно банит. Вот думаю, если провайдера сменю (или оператора), зарегистрирую новый акк, а потом будут входить с предыдущего оборудования - опять вычислит? Сделайте свой форум с блэк джеком и ***ми. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...