SKFREE

Software - Server na blackliste

sef - 30.01.2014 - 11:38
Post subject: Server na blackliste
Nazdar.

Uz asi tyzden je moj server na blackliste. Zatial bol iba na mailspike bl. Ale od dnesneho rana je aj na spamhause.org. Tam som sa docital toto:

This IP address is infected with, or is NATting for a machine infected with the ZeroAccess botnet, also known as Sirefef. More information can be found from Wikipedia. It is most often used for bitcoin mining or click fraud, but as it contains a downloader portion, it can do anything.

If this IP address is a NAT gateway, it should be possible to find which computer on your internal network is infected by implementing a filter on your firewall to detect and log attempts to send UDP packets to the Internet with a destination port number of 16470.

REMEMBER: ZeroAccess is NOT an Email spamming tool. This detection was NOT because of spam.


Urobil som toto:
iptables -I OUTPUT -p udp --dport 16471 -j DROP
iptables -I OUTPUT -p udp --dport 16470 -j DROP
iptables -I OUTPUT -p udp --dport 16465 -j DROP
iptables -I OUTPUT -p udp --dport 16464 -j DROP

Staci? Neriesili ste niekto uz toto? Chodia aj mne maily napr. od abcd@mojafirma.sk na moj mail ale ja meno "abcd" na serveri nemam.

Dakujem ze kazdu radu. Port 25 mam na forwarde aj na outpute blokovany.
midnight_man - 30.01.2014 - 11:50
Post subject:
Sak tam mas jasne napisane ktory port to pouziva tak si chyť lokalnu IP ktora pracuje s tym portom a hotovo Smile
sef - 30.01.2014 - 11:55
Post subject:
No ano 16470. Na inete so sa docital ze aj tie ostatne porty. Dal som hladat na lokalnej sieti a vypisalo mi vsetkych klientov ze to je "domain". HM?
midnight_man - 30.01.2014 - 12:37
Post subject:
16470 do FW s UDP protokolom a cakat ktore lokalne ip sa chytia.
sef - 30.01.2014 - 16:53
Post subject:
Vyzera ze je to zatial OK. Obavam sa skor ze niekto kto ma tento jeden spam moze mat aj viac. Cize moze sa stat ze zachvilu budem zase v BL. Blokujete nejako OUTPUT? Ja blokujem iba Incoming a povolujem na nom iba 25 SMTP,80web a 53 tcp + udp na DNS. Na forwarde blokujem 25 + tie co som pisal hore. A na OUTPUT iba tie co som pisal hore. Zatial cca 2 roky nebol problem.
sef - 30.01.2014 - 16:55
Post subject:
http://www.trojanhunter.com/trojanhunter/portlist/

tieto by som hned blokol keby sa mi chcelo tolko vypisovat.
sef - 30.01.2014 - 17:17
Post subject:
Toto by mi pomohlo na vystopovanie SPAMera?

iptables -N LOGGING
iptables -A OUTPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
pixall - 30.01.2014 - 21:35
Post subject:
sef wrote: ›Vyzera ze je to zatial OK. Obavam sa skor ze niekto kto ma tento jeden spam moze mat aj viac. Cize moze sa stat ze zachvilu budem zase v BL. Blokujete nejako OUTPUT? Ja blokujem iba Incoming a povolujem na nom iba 25 SMTP,80web a 53 tcp + udp na DNS. Na forwarde blokujem 25 + tie co som pisal hore. A na OUTPUT iba tie co som pisal hore. Zatial cca 2 roky nebol problem.


OUTPUT je traffic ktory vznika na tom konkretnom stroji, a odchadza cez siet von. takze si si tym zablokoval spojenia z toho konkretneho routera (od loklanych aplikacii), nie spojenia ktore cez router prechadzaju. RTFM.
sef - 31.01.2014 - 00:20
Post subject:
iptables -I OUTPUT -p udp --dport 16470 -j DROP
iptables -I FORWARD -p udp --dport 16470 -j DROP

tak som to dal.
alwarez - 31.01.2014 - 08:11
Post subject:
nie je lepsie konkretneho vinnika najst a odstranit, ako dropovat pakety?
iptables -I FORWARD -p udp --dport 16470 -j LOG --log-prefix "kamarat co posiela udp na port 16470"
a potom dropnut
sef - 31.01.2014 - 09:55
Post subject:
A kde potom najdem ten log? 16470 mam asi poriesene a si myslim ze este je nejaky iny SPAM v sieti a vsetke porty asi logovat nema zmysel. Dik za radu
sef - 31.01.2014 - 09:58
Post subject:
Este jedna vec. Spamhaus aspon vypise ze preco a kedy si blokovany ale ten skur.. mailspike bl nic len ze si blokovany. Pisal som im aj mail ale maju ma v p... Keby aspon napisali ze siris ten a ten SPAM ale nic.
alwarez - 31.01.2014 - 11:47
Post subject:
asi poriesene? logy najdes vo /var/log
ak prevadzkujes server na linuxe, nebolo by odveci si nieco nastudovat, alebo nechat s linuxom pracovat niekoho kto aspon trochu vie co robi
sef - 01.02.2014 - 14:51
Post subject:
Nazdar.

Log som vedel ze sa uklada do /var/log akurat ze som tam nemal nastavene vytvaranie Logov pre iptables. Dopisal som to do rsyslog.conf kedze ja mam redhat a hladal som syslog.conf. Ale tak ako hovorim este najst dalsieho SPAMera je tazsie kedze neviem port. Cez iptraf som pozeral ake porty sa vyuzivaju. 25 SMTP som nenasiel ziaden. Su tam bezne porty. Inak ako odhalit napr. port 53. Ved aj cez UDP 53 ci TCP funguje napr. Bonk (DoS) trojan horse also uses port 53(TCP).A je ich viac takych. Netstat -tapn aj to som skusal.
krtko - 01.02.2014 - 14:54
Post subject:
ano, urcite zablokuj aj 53jku Laughing Laughing Laughing
sef - 01.02.2014 - 15:03
Post subject:
haha
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits