Tak jsem zase kontroloval server a znovu jsem narazil na nekalou činnost..
Vlastně se vubec nejedna o hackovani, ale chtěl jsem navázat nadpisem.
A na co tak nekaleho jsem vlastne narazil? Díval jsem se na graf množství přenesených dat na jednotlivých ip adresách. Na prvním grafu není vidět nic mimořádného – v noci se spí a přes den se pracuje.
Na druhém grafu, ale evidentně fialová křivka uletěla do nevidím. Odchozí traffic 15 mega za hodinu sám o sobě není nějak zvlášt podezřelý, ale když si ho dám do kontextu s příchozími daty, tak je v poměru 10:1, čož už podeřelé je. Navíc je to rozprostřené do celého dne, což je taky podezřelé.
Po tom co jsem se podíval na tabulku právě otevřených spojení, tak mi bylo už všechno jasné. Fialový se buď dal na spamerskou dráhu nebo měl pěkně zavirovaný počítač. V tabulce jsem našel přes 30 otevřených spojení na portu 25 do celého světa.
Nakonec jsem fialovému zablokoval port 25 a poslal mu zprávu aby si to odviroval.
LINK: skripty pro vygenerování grafů
Neco podobneho se mi stalo taky. Bratr mel na svem win stroji nejakeho trojana a ten rozesilal kvanta spamu do sveta. ISP to vyresil tak, ze nas kompletne odriznul. Bylo to zrovna pres vanoce a tak jsme byli 5 dni bez Internetu.
a byl jsi s tim uz u doktora?
U nás jsme to vyřešili komplexně. blokli jsme SMTP a řekli, aby všichni používali náš smtp server, který je povolen. Tím se odstranilo 99% problémů. Spamerský breberky sice pobíhaj, ale neotravujou ostatní.
[1] Providera zcela chápu. Není nic příjemného získat pověst spammera. 95% spamu míří právě s podobných zombie, jakou se stal bratrův počítač.
[3] Asi nej řešení, já to samé udělal už dávno.
btw ty grafiky jsou generovane pres mrtg?
[5] vlastni skript – pridal jsem link na konec clanku
FUCK OFF SULINE