[beljo91]

Tervist!

Suur mure.
Probleem selles, et ettevõtte sisevõrgus on mingi arvuti nakatunud spambot'ga.
Sain Telialt infot, et meie välise IP pealt spamitakse e-maile.

Küsimus:
Kuidas tuvastada, mis arvutis on spambot?
tulemüür mida kasutame: ZyWALL USG 20

Oskan monitoorida port 25 tegevust ainult siis, kui blokeerida port 25 väljuv liiklus.
Kahjuks ei saa seda tööpäeval teha, kuna tekiks suur kisa.

Kas puhastada/skanneerida kõik (~30) arvutid ühekaupa või on mõni lihtsam/inimlikum lahendus.

[renx09]

https://social.technet.microsoft.com/Forums/windowsserver/en-US/7d5b09db-0ed8-4e26-a3aa-c1dc1383ea8a/netstat-filtering-query?forum=winserverPN

[Betamax]

Netstat või siis WireShark näiteks.
https://www.wireshark.org/
Kui spämmib, siis tähendab, et tekitab massiivselt liiklust. WireSharkiga näed ära, millise arvuti IP pealt seda tuleb.

[beljo91]

Panen enda masinas wiresharki käima, ning peaks nägema mis võrgus toimub või näitab ainult minu liiklust?
Kas pean panema oma masina kuskile spets porti switchis/firewallis?

[Betamax]

https://ask.wireshark.org/questions/11941/looking-for-a-computer-sending-out-spam-how-do-i-find-it-using-wireshark

[laurx]

kui sa oled need masinad omale kaugelt kättesaadavaks teinud, võid nad õhtul peale tööd vähehaaval üle käia. eeldatavasti tuleb muud ka välja kui see spämmibot. kui sul mingil hetkel mõnel õhtul käsitsi tegemiseks abijõudu vaja on, võib asja arutada.

mul on kunagi olnud selline asi, et keegi tassis oma läbustava masina kaasa ja viskas kuskile AP otsa. kui kirjad tulema hakkasid, ma nuputasin jupp aega, et mis värk.. enamasti ei olnud seda masinat võrgus kui ma otsima hakkasin.

[beljo91]

Huvitav kas AV ülekäimisest piisab, et spambot tuvastada/leida või tuleb ka näiteks Malwarebytes kasutada vms?

[-vodafone-]

Mitu arvutit sul on?

[beljo91]

Pisut alla 30. Mure selles, et tööpäeviti on pidevas töös. Skannimiste ja muude toiminguks tunniks - kaheks kinni panna on üsna võimatu.
Sellepärast lootsingi esialgu allika tuvastada kuidagi.

[ufo56]

Kus kohas mailiserver ise asub ?

Kui hostide mailiserverit ise siis tõenäoliselt selles auk

[laurx]

tuleb teha töövälisel ajal.

[beljo91]

Kasutame Telia maili serverit meilide välja saatmiseks.
mail.neti.ee

[Dogbert]

mail.neti.ee-l on vist endiselt standardne mail submission port 587 keelatud? Vähemalt hot.ee-l on küll. Standard pandi paika juba 1998, aga ikka ei saa tehtud nii nagu RFC soovitab. Telia klient peab kasutama port 25, kui TLS-i tahab kasutada või siis loobuma TLS-ist SSL-i vastu ja kasutama ebastandardset 465.

Peamine oleks sellel kirbutsirkusel kraan kõigepealt kinni keerata, ehk mitte lubada väljuvaid ühendusi pordile 25. Kõige parem, kui saaks selle täiesti kinni panna, sest see port peaks olema ainult serverite omavaheliseks lobisemiseks ja kliendid peaksid oma kirjad saama serverile ette sööta 587 kaudu. Kuna neti.ee seda ei võimalda, siis tegelikult võiks neil soovitada oma 587 lõpuks lahti teha, aga vaevalt et nad oma laia taguotsa liigutama hakkavad. See on tegelikult nende oma viga, et botid neile ja nende kaudu spämmi saadavad ja seda raske on takistada. Ja siis kukuvad ruigama, kui sitt ventikasse lendab.

Palju neid meilikliente sul võrgus on? Kõik ~30? Kui on vähem, siis võiks panna meilikliendid SSL-iga 465 peale kirju saatma ja saad port 25 kinni lüüa. Siis on juba aega putukatõrjega tegeleda.

[beljo91]

Logisin 25(lahti) pordi liiklust, ning lõpuks jäi silma õhtul 21 ajal, et lausa 6 lehekülge kirjet ühe arvuti kohta ning erinevate aadressite peale.
Lasin putukatõrjega arvuti üle ja loodan, et sai asi parem.

Tänud informatsiooni ning abi pakkumise eest!

[laurx]

käi teised ka üle.

[Dogbert]

Sarnase jama kordumise puhul saaksid spämmiliiklust oluliselt vähendada, kui tulemüüris lubaksid port 25 peale väljuva liikluse ainult mail.neti.ee peale, aga igale poole mujale mineva dropiks ära.

Botid enamasti nii "intelligentsed" ei ole, et ISP meiliserverit otse sihtida oskaksid ja töötavad ise SMTP-na. Kuigi parem oleks, nagu juba varem öeldud, kui väljuva 25 saaks kinni täiesti, aga mail.neti.ee peab ilmselt omaenda veidruse tõttu avatuks jääma, kui seda kasutate.

[ThedEviL]

[Dogbert]

No seda ma soovitasin juba ka kui kõige paremat lahendust. Aga kui on kirjasaatjaid palju, meilikliendi kaughalduse võimalus olematu, siis peab igaüht eraldi näppimas käima.
Igatahes võiks igas võrgus bottide blokeerimiseks port 25 pihta sihitud väljuvad ühendused blokeeritud olla. Eriti veel, kui mingid byod seadmed seal külas käivad näiteks.

Üks või teine, aga midagi preventiivset tuleb ette võtta ja port 25 sulgemine on kõige efektiivsem.