Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Обнаружение urlzone2 (?)
 
Доброго времени суток.
Наш ip адрес (Германия) который натит несколько компьтеров из внутренней сети и работает как почтовый сервер, последнее время начал попадать в черный список с причиной:
Скрытый текст
Я прикрутил на шлюз (Linux компьютер) netflow который пишет откуда и куда ходит трафик.

Собственно вопрос - по каким признакам можно выловить какой компьютер в сети инфицирован urlzone2 ? Блеклист раз или два явно указывал на какой ip адрес осуществлялось подключение, но потом, почему - то они это убрали. И как искать у меня что-то идей нет.
 
Цитата
414988 пишет:
И как искать у меня что-то идей нет.
Намекаю. У каждого почтового сервера есть лог-файлы.
 
Цитата
414990 пишет:
Намекаю. У каждого почтового сервера есть лог-файлы.
Спасибо, конечно, за намёк, но это первое что я просмотрел и ничего особо подозрительного не обнаружил.
Есть ещё какие-то идеи ?)
 
Есть. Пятна на Солнце, нашествие зеленых ящеров с планеты Нубиру и происки Госдепа США. Выбирайте.
 
Цитата
414988 пишет:
Я прикрутил на шлюз (Linux компьютер) netflow который пишет откуда и куда ходит трафик.
Куда и откуда он, кстати, ходит? Там вон время указано. 2014-04-03 06:38:11 Смотрим - что и куда ходило в это время (которое по Гринвичу, как я понял). Странный какой-то блэк-лист. Обычно там можно (но не везде) найти заголовок письма, из которого уже вычислить, откуда оно прилетело (раз с логами почтовика не сложилось).
 
Для тех у кого сложится аналогичная ситуация.
Как вариант обнаружения - троян лезет на разные "левые" внешние адреса на порт 123. Записывая трафик можно обнаружить от кого лезет.
Страницы: 1
Читают тему (гостей: 1)