форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как следить за отправкой почты из локалки"

Сообщение от marvin on 31-Окт-07, 10:35

Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому возник вопрос - как следить за тем, какая машина из локалки заражена и начинает рассылать спам.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как следить за отправкой почты из локалки"

Сообщение от AlexF (??) on 31-Окт-07, 12:55

на шлюзе - trafd, ngrep, tcpdump? >Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому >возник вопрос - как следить за тем, какая машина из локалки >заражена и начинает рассылать спам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Как следить за отправкой почты из локалки"
	Сообщение от ShyLion (ok) on 31-Окт-07, 13:15
	>на шлюзе - trafd, ngrep, tcpdump? > >>Локалка, сервер, nat. К сожалению, зафильтровать порт 25 по направлениям нельзя, поэтому >>возник вопрос - как следить за тем, какая машина из локалки >>заражена и начинает рассылать спам. tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn) !=0 and not dst net локальная/сетка man tcpdump
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Как следить за отправкой почты из локалки"
	Сообщение от ShyLion (ok) on 31-Окт-07, 13:17
	>tcpdimp -ni internal_interface0 tcp and dst port 25 and (tcp[tcpflags] & tcp-syn) tcpdump
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Как следить за отправкой почты из локалки"
	Сообщение от marvin on 31-Окт-07, 16:36
	ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю на этот счет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Как следить за отправкой почты из локалки"
	Сообщение от konst (ok) on 31-Окт-07, 19:14
	>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то >чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю >на этот счет. Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Как следить за отправкой почты из локалки"
	Сообщение от marvin on 01-Ноя-07, 10:09
	>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то >>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю >>на этот счет. > >Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление а поделиться можешь? :) mi6@bk.ru
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Как следить за отправкой почты из локалки"
	Сообщение от konst (??) on 01-Ноя-07, 23:01
	>>>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то >>>чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю >>>на этот счет. >> >>Я использую свой скриптик: анализирует по логам отправленную почту из локалки. Если > 10 писем/сутки - уведомление, если подделывается поле from: ...@not_my_host - уведомление > >а поделиться можешь? :) mi6@bk.ru Был бы рад. Да там такая жуткая  аналитическая система ужо построена, что левый чел. просто не разберется... Основную идею я уже сказал, далее  - дело за Вами... Вот кусок кода из perl-скрипта: анализирует /var/log/maillog. Учитывает размер посланного... while(<>) {     if (/^([A-Za-zЮ-Ъю-ъ]+) +([0-9]+).+sendmail.[0-9]+.: +([^ ]+): +from=<?([^,>@]+\@[^, ]+).+ size=([0-9]+).+\ relay=.*\[(192.168.[0-9.]+)\]/) {         $m = $1;         $d = $2;         $date = $m."_".sprintf("%02d",$d);         unless ($m{$m})  { print color ("blue")," $m: ",color("yellow"); }         unless ($d{$date}) { print "$d.."; ++$sort; }         unless ($sort{$date}) {$sort{$date}=$sort}         $m{$m} = 1;         $d{$date} = 1; #       $id=$3;                                                                                                       $from = $4;         $size = $5;         $ip = $6; .... # для некоторых IP не делаем проверок:         if ($ip =~ /192.168.0.2(22|00|08)/) { next } ###########         ++$count_all{$date}{$ip};         $size_all{$date}{$ip} += $size;         ++$count_ip{$ip};         $size_ip{$ip} += $size;         ++$count_d{$date};         $size_d{$date} += $size;     } }
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Как следить за отправкой почты из локалки"
	Сообщение от ShyLion (ok) on 01-Ноя-07, 07:40
	>ну...и представьте меня круглосуточно смотрящим в лог tcpdump :) Мне надо что-то >чтобы оповещало меня по мылу или СМС :) Сейчас Snort прощупываю >на этот счет. запускай в бакграунде с логом в файл, по крону файл анализируй или с логом в трубу, из трубы читай скриптом и оповещайся как хочешь
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]