Witam

Mam nastepujacy problem, od jakiegos czasu widze ze z mojego kompa lub
modemu ustanawiane jest kilakdziesiat polaczen. Wszystkie na porcie 25 czyli
poczta... spamerzy wykorzystuja to do rozsylania swojego syfu.

Konta pocztowe mam pozabezpieczane antywirusem, wszystkie wiadomosci czytam
w txt i zablokowane mam otwieranie zalacznikow.
Mimo wszystko cos mi sie chyba przedostało, mimo ze antywirusy: MKS i Norton
oraz Adware f-my Lavasoft niczego nie wykrywają.

fragment netstata:


Protokół Adres lokalny Obcy adres Stan
TCP solaris:2029 mail.global.frontbridge.com:smtp
CZAS_OCZEKIWANIA
TCP solaris:2030 sdcmail02-ext1.amcc.com:smtp
CZAS_OCZEKIWANIA
TCP solaris:2047 mx.iprimus.com.au:smtp USTANOWIONO
TCP solaris:2050 mail.amer.net:smtp WYSŁANO_SYN
TCP solaris:knetd *.s6a2.psmtp.com:smtp CZAS_OCZEKIWANIA
TCP solaris:2056 server59.appriver.com:smtp CZAS_OCZEKIWANIA
TCP solaris:2064 trgusa.newengland.verio.net:smtp
CZAS_OCZEKIWANIA
TCP solaris:2099 mx.frontiernet.net:smtp CZAS_OCZEKIWANIA
TCP solaris:2100 *.s7a2.psmtp.com:smtp CZAS_OCZEKIWANIA
TCP solaris:2101 62.37.236.140:smtp WYSŁANO_SYN
TCP solaris:2109 mx01.telus.net:smtp CZAS_OCZEKIWANIA
TCP solaris:2110 hazelclean.teradyne.com:smtp USTANOWIONO
TCP solaris:2112 mxl145v1.mxlogic.net:smtp CZAS_OCZEKIWANIA
TCP solaris:2114 mailstore1.secureserver.net:smtp
CZAS_OCZEKIWANA

jest takich połączen kilkadziesiąt lub więcej i na niektorych z nich widać
transmisje do i ode mnie

Jakieś podpowiedzi jakto wytępić?

Uzywam lacza z kablówki

do góry

> fragment netstata:
>
>
> Protokół Adres lokalny Obcy adres Stan
> TCP solaris:2029 mail.global.frontbridge.com:smtp
> CZAS_OCZEKIWANIA
> TCP solaris:2030 sdcmail02-ext1.amcc.com:smtp
> CZAS_OCZEKIWANIA
> TCP solaris:2047 mx.iprimus.com.au:smtp USTANOWIONO
> TCP solaris:2050 mail.amer.net:smtp WYSŁANO_SYN
> TCP solaris:knetd *.s6a2.psmtp.com:smtp CZAS_OCZEKIWANIA
> TCP solaris:2056 server59.appriver.com:smtp
> CZAS_OCZEKIWANIA
> TCP solaris:2064 trgusa.newengland.verio.net:smtp
> CZAS_OCZEKIWANIA
> TCP solaris:2099 mx.frontiernet.net:smtp CZAS_OCZEKIWANIA
> TCP solaris:2100 *.s7a2.psmtp.com:smtp CZAS_OCZEKIWANIA
> TCP solaris:2101 62.37.236.140:smtp WYSŁANO_SYN
> TCP solaris:2109 mx01.telus.net:smtp CZAS_OCZEKIWANIA
> TCP solaris:2110 hazelclean.teradyne.com:smtp USTANOWIONO
> TCP solaris:2112 mxl145v1.mxlogic.net:smtp CZAS_OCZEKIWANIA
> TCP solaris:2114 mailstore1.secureserver.net:smtp
> CZAS_OCZEKIWANA
>
> jest takich połączen kilkadziesiąt lub więcej i na niektorych z nich widać
> transmisje do i ode mnie

Witaj,

w moj serwer pocztowy bije tez jakies 100 - 300 hostow na minute....
staraja sie wyslac maila na adres w mojej domenie, ale nazwa konta jest
zawsze generowana losowo:

tzn. 2 lub 3 literki + slowo ze "slownika"

botnet jest naprawde spory....hosty ze stanow, brazylii, japonii.....
sam miod....

zauwazyl tez ktos cos podobnego u siebie ?

pozdrawiam,
--
Lukasz Krawczyk

do góry

To jest najpewniej trojan, ktory rozsylal sie przez gg. Duzo ludzi sie
zlapalo.
Ja wytepilem gnoja recznie, bo avast tego nia identyfikowal.

Netstat autora watku wskazuje ze posiada takiego trojana i sieje spamem :)

--
Pzdr,
mIrO

do góry

Łukasz Krawczyk wrote:
>> fragment netstata:

>> jest takich połączen kilkadziesiąt lub więcej i na niektorych z nich widać
>> transmisje do i ode mnie
>
> Witaj,
>
> w moj serwer pocztowy bije tez jakies 100 - 300 hostow na minute....
> staraja sie wyslac maila na adres w mojej domenie, ale nazwa konta jest
> zawsze generowana losowo:
>
> tzn. 2 lub 3 literki + slowo ze "slownika"
>
> botnet jest naprawde spory....hosty ze stanow, brazylii, japonii.....
> sam miod....
>
> zauwazyl tez ktos cos podobnego u siebie ?
>
> pozdrawiam,

od kilku dni mam podobny problem, tylko ze mam ich okolo 10tys na
godzine ;), tez losowe hosty nawet cos z *.securityfocus.com sie do mnie
dobija ;)

jakos sobie z tym radzisz ? bo moj serwer troche to poczul ;)

--
Mateusz Pronobis

do góry

On Mon, 13 Nov 2006 09:46:30 +0100, Mateusz Pronobis <s...@-...pl>
wrote:

> od kilku dni mam podobny problem, tylko ze mam ich okolo 10tys na
> godzine ;), tez losowe hosty nawet cos z *.securityfocus.com sie do mnie
> dobija ;)

Raczej twój zawirusowany windows dobija się do nich, a nie
odwrotnie. Zobacz dokładnie na wynik netstata - to jest
twój 25 port, czy ich? :>

--
pozdrawiam
vic

do góry

> Mimo wszystko cos mi sie chyba przedostało, mimo ze antywirusy: MKS i
> Norton oraz Adware f-my Lavasoft niczego nie wykrywają.

Jak nie będziesz klikał na bzdurne linki z GG, to nie złapiesz tego
badziewia....


--
MZ

Freude am Fahren

do góry

vic wrote:
> On Mon, 13 Nov 2006 09:46:30 +0100, Mateusz Pronobis <s...@-...pl>
> wrote:
>
>> od kilku dni mam podobny problem, tylko ze mam ich okolo 10tys na
>> godzine ;), tez losowe hosty nawet cos z *.securityfocus.com sie do
>> mnie dobija ;)
>
> Raczej twój zawirusowany windows dobija się do nich, a nie
> odwrotnie. Zobacz dokładnie na wynik netstata - to jest
> twój 25 port, czy ich? :>
>
> --pozdrawiam
> vic


Jaki windows ?

Nie przesadzaj z tym niesieniem pomocy ;-))))

Nov 13 05:48:46 www postfix/smtpd[23003]: connect from
outgoing.securityfocus.com[205.206.231.26]
Nov 13 05:48:49 www postfix/smtpd[23003]: NOQUEUE: reject: RCPT from
outgoing.securityfocus.com[205.206.231.26]: 550
<w...@d...biz>: Recipient address rejected: User unknown in
local recipient table; from=<> to=<w...@d...biz> proto=ESMTP
helo=<outgoing.securityfocus.com>
Nov 13 05:48:50 www postfix/smtpd[23003]: disconnect from
outgoing.securityfocus.com[205.206.231.26]

;-)

do góry

On Mon, 13 Nov 2006 14:29:05 +0100, Mateusz Pronobis wrote:

> <w...@d...biz>: Recipient address rejected: User unknown in
> local recipient table; from=<> to=<w...@d...biz> proto=ESMTP
^^
Normalna zwrotka fake-maila. Zakładając, że domena.biz to domena, dla której
Twój postfix jest MX-em.
--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry

On Mon, 13 Nov 2006 14:29:05 +0100, Mateusz Pronobis <s...@-...pl>
wrote:

>>> od kilku dni mam podobny problem, tylko ze mam ich okolo 10tys na
>>> godzine ;), tez losowe hosty nawet cos z *.securityfocus.com sie do
>>> mnie dobija ;)

>> Raczej twój zawirusowany windows dobija się do nich, a nie
>> odwrotnie. Zobacz dokładnie na wynik netstata - to jest
>> twój 25 port, czy ich? :>


> Jaki windows ?
> Nie przesadzaj z tym niesieniem pomocy ;-))))

To ja przepraszam :-))


--
pozdrawiam
vic

do góry

W przypadku mojej kablówki - administratorzy na ponad 24 godziny zablokowali
na amen cały ruch z sieci na porcie 25. Potem ręcznie dodawali do "whitelist"
serwery smtp używane przez klientów. Czasem wymagało to zamejlowania do nich
aby dodali też te mniej popularne (czyt. prywatne serwery) :)

--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry