it-swarm-pt.tech

Como você detecta um spambot em sua rede?

Eu ajudo a gerenciar uma pequena rede de cerca de 40 computadores. Estamos executando um servidor de email Exchange 2003.

Qual é a melhor maneira de descobrir qual máquina está infectada por um spambot? Tentei instalar programas antivírus e antimalware em cada computador. Depois de examinar os computadores, encontrei alguns que continham muitos programas maliciosos e pensei que nosso problema estava resolvido. No entanto, nosso domínio continua sendo bloqueado por listas negras de DNS e tenho que removê-las diariamente para que nossos clientes recebam nosso e-mail.

Nota: Estamos sendo atacados por táticas de Coleta de Diretório e Backscatter.

editar: Nosso servidor de e-mail funciona como um servidor DNS. Isso poderia abrir vulnerabilidades para ataques de spam?

6
mav

Primeiro, você precisa parar o spam.
a- configure seu firewall para não permitir SMTP/POP de saída, exceto do servidor de e-mail.
b- configure seu servidor de e-mail para não permitir retransmissão de saída.

Em seguida, você precisa encontrar a (s) máquina (s) com problema.
1- Observe os logs do firewall para ver quais máquinas estão realmente tentando enviar e-mails e sendo bloqueadas. Essas máquinas estão infectadas.
2- Certifique-se de que cada máquina tenha A/V atual e faça uma varredura completa em cada máquina.
3- Você pode querer implementar o Firewall do Windows em cada máquina.
4- Caso ainda não seja encontrado, será necessário usar um farejador.

Observação: não acho que DNS e e-mail no mesmo servidor sejam um problema.

6
tomjedrz

O problema pode ser que seu servidor de troca esteja permitindo o RELAY. Certifique-se de que a configuração esteja desativada ou defina apenas os IPs que têm permissão para retransmitir por meio desse servidor. Seu projeto de rede deve permitir que o servidor Exchange envie tráfego para fora de sua rede através da porta 25.

A maioria dos spambots usa a porta 25. Depois de configurar assim, se qualquer outra máquina tentar enviar pela porta 25, ela aparecerá nos logs do firewall.

Boa sorte!

3
Saif Khan
  1. Você deve farejar o tráfego da rede. Existem muitas ferramentas legais disponíveis, desde dumps de pacotes simples semelhantes ao tcpdump até aplicativos sofisticados de visualização de GUI. Normalmente, você precisará: a) conectar a uma porta especial em seu switch, b) configurar outra porta para ver todo o tráfego, ou c) fazer a detecção de seu firewall/roteador. Primeiro, concentre-se em localizar o tráfego SMTP para o mundo externo de qualquer máquina que não seja o servidor Exchange. Mais tarde você deve examinar todo o tráfego para ver se algo mais está acontecendo: IRC da máquina de alguém que nem sabe o que é IRC, por exemplo.
  2. Escreva uma declaração em linguagem simples de qual tráfego deve ser permitido fora de sua rede e implemente regras de saída em seu firewall/roteador, com registro. Você ficará surpreso com o quão bem isso funciona. E também significa que você saberá quando algo de ruim está acontecendo antes você ouve de uma parte externa!
1
dwc

Se você tiver um firewall, uma solução simples é bloquear todo o tráfego de saída da porta 25, exceto para o servidor Exchange. Provavelmente, as máquinas individuais estão tentando enviar spam por conta própria. Depois de colocar o bloqueio no lugar, verifique os logs do firewall para ver qual IP está tentando e falhando para atingir a porta 25 de saída.

1
paulr

Onde seus dados são armazenados? O hardware é quase idêntico? Pode ser mais fácil recriar a imagem de todos eles.

0
Adam

Eu usei um programa chamado Showtraf antes, que monitora o tráfego na rede. Tivemos um problema semelhante antes e ele mostrou o ip que estava enviando grandes quantidades de dados na porta 25.

Disponível aqui - http://demosten.com/showtraf/

0
Ben Gillam