6 votos

¿Cómo se puede detectar un spambot en la red?

Me ayudan a administrar una pequeña red de cerca de 40 equipos. Estamos ejecutando un correo de Exchange 2003 server.

¿Cuál es la mejor manera de encontrar que el equipo está infectado por un spambot? He intentado instalar anti-virus y anti-malware programas en cada equipo. Después de escanear los ordenadores que me hizo encontrar un par que tenía un montón de programas maliciosos y el pensamiento de que nuestro problema fue resuelto. Sin embargo, nuestro dominio sigue bloqueada por las listas Negras de DNS y tengo que quitar a diario para nuestros clientes de recibir nuestro e-mail.

Nota: Estamos siendo atacados por el Directorio de la Cosecha y de la Retrodispersión de la táctica.

edit: Nuestro servidor de correo electrónico funciona como un servidor DNS. Podría, posiblemente, abierto hasta las vulnerabilidades de los ataques de spam?

6voto

tomjedrz Puntos 5392

En primer lugar, usted necesita para detener el spam.
- configurar el firewall para que no permitir la salida de SMTP/POP, excepto desde el servidor de correo electrónico.
b - configurar su servidor de correo para no permitir la salida de relé.

Entonces, usted necesita para encontrar el problema de la máquina(s).
1 - Buscar en los registros del firewall para ver qué equipo(s) en realidad están tratando de hacer de correo saliente y se bloquee. Esas máquinas están infectados.
2 - asegúrese de que cada máquina tiene corriente a/V, y hacer un análisis exhaustivo en cada máquina.
3 - puede Que desee implementar el Firewall de Windows en cada máquina.
4 - Si aún no se encuentra usted tendrá que usar un sniffer.

Nota: no creo que el DNS y de correo electrónico en el mismo servidor es un problema.

6voto

Adam Puntos 2432

Donde se guardan sus datos? Es el hardware casi idénticas? Podría ser más fácil volver a crear la imagen de la gran cantidad de ellos.

5voto

dwc Puntos 1278
  1. Usted debe oler su tráfico de red. Hay muchas buenas herramientas disponibles, todo el camino de la llanura de paquetes de vertederos similar a tcpdump todo el camino a la fantasía de la GUI de visualización de aplicaciones. Normalmente, usted necesitará: a) conectar en un puerto especial en su conmutador, b) configurar otro puerto para ver todo el tráfico, o c) hacer el examen de tu firewall/router. En primer lugar, se centran en la búsqueda del tráfico SMTP para el mundo exterior desde cualquier máquina que no es de Exchange server. Más tarde, usted debe examinar todo el tráfico para ver si algo más está pasando: IRC de alguien de la máquina que ni siquiera sabe lo IRC es, por ejemplo.
  2. Escribir en un lenguaje simple declaración de lo que se debe permitir el tránsito fuera de su red, y aplicar las reglas de salida en el firewall/router, con el registro. Usted se sorprenderá de lo bien que funciona esto. Y también significa que usted va a saber cuando algo malo está sucediendo antes de escuchar de un tercero!

0voto

Sam Hasler Puntos 10253

El problema podría ser que el servidor de exchange está permitiendo RELÉ. Asegúrese de que la configuración está desactivada o establecer las IPs que están autorizados para transmitir a través de ese servidor. Diseño de la red debe permitir sólo el servidor de exchange para enviar el tráfico de su red a través del puerto 25.

La mayoría de los spambots utilizar el puerto 25. Una vez que haya configurado de esa forma, si cualquier otro equipo intente enviar a través del puerto 25 se muestran en los registros del cortafuegos.

Buena Suerte!

-1voto

paulr Puntos 1900

Si usted tiene un firewall, una simple solución es bloquear todo el tráfico del puerto 25, excepto para el servidor de Exchange. Las máquinas individuales probable tratando de enviar el spam en su cuenta. Una vez que has puesto el bloque en su lugar, compruebe los registros del firewall para ver que IP está tratando, y en su defecto, para golpear el puerto 25 saliente.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X