The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Организация почтовых ловушек для обнаружения вирус..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Организация почтовых ловушек для обнаружения вирус..."
Сообщение от opennews (??) on 09-Ноя-04, 11:08 
Статья полугодичной давности, но (надеюсь) не потерявшая актуальности. Рассматривает организацию фальшивого почтового сервера на базе Linux, предназначенного собирать из локальной сети спам, генерируемый вирусами на заражённых рабочих станциях, блокировать его и сообщать админу.

URL: http://ilya-evseev.narod.ru/articles/smtptrap/smtptrap-article.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=4626

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от pev2000 email(??) on 09-Ноя-04, 11:08 
Что то как то сложно... во первых как мне показалось - вирусы сами стучатся на 25 порт сервера получателя, обходя этим самым настройки всяких Outlook'ов.
Не проще ли сделать на маршрутизаторе заворот на 25 порт локального smtp сервера(на маршрутезаторе BSD сделано "ipfw add fwd 127.0.0.1,25 tcp from any to any 25 in via fxp0" и все радуются жизни) где антивирус проверяет проходящую почту и отправляет его либо напрямую на сервер получателя, либо на smtp провайдера
Cообщить модератору | Наверх | ^

2. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от BlackSir email(??) on 09-Ноя-04, 11:37 
Согласен, я пользуют прозрачное проксирование всего исходящего SMTP-траффика средствами natd (+пару правил в ipfw естественно) в локальный Exim+ClamAV:
/sbin/natd -p 8669 -proxy_only -proxy_rule port 25 server x.y.z.t:25 -reverse

Все замечательно работает, машинка с P3-1133 максимум за день хавала ~100тыс писем с вирусами. Не подавилась и практически не тормозила. Обдумываю вариант поставить в качестве frontend security/clamsmtp дабы избавить Exim от грязной работы.

Cообщить модератору | Наверх | ^

7. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Аноним on 09-Ноя-04, 16:03 
А каким это, интересно, боком такая машинка может пропускать столько писем с вирьем, откуда его вообще стлько? У меня основной релэй тянет от половины до одного мегаписьма в сутки, при этом вирья, по репортам, всего несколько килописем. В дни эпидемии - до нескольких десятков килописем. Но откуда обьемы около ста килописем в сутки с вирусами ? Что у тебя за сетка, в которой столько завирусованных маших ? Или ты их специально разводишь ?

Смахивает на что-то левое.

Cообщить модератору | Наверх | ^

11. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от BlackSir email(??) on 09-Ноя-04, 16:44 
Отвечаю: Если стоит прозрачное проксирование то вири при обращении напрямую к ЛЮБОМУ серваку попадают на мой релей, соответсвенно ВЕСЬ вирусный траффик обрабатывается моим сервером. Второе: я не обязан и не буду лечить машины клиентов(могу только на мозги им капать), а вот манагеры не дают их отлючать от инета :-(

все еще сомневаешься? mailto:blacksir@number.ru

Cообщить модератору | Наверх | ^

14. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Spark email on 09-Ноя-04, 20:06 
я понимаю что к ЛЮБОМУ СЕРВАКУ.

Так бы и сказал что у тебя релей

Cообщить модератору | Наверх | ^

15. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Spark email on 09-Ноя-04, 20:08 
я понимаю что к ЛЮБОМУ СЕРВАКУ.

Так бы и сказал - что это сервер ISP. Я про корпоративный MTA говорю.

Cообщить модератору | Наверх | ^

9. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 09-Ноя-04, 16:38 
> вирусы сами стучатся на 25 порт сервера получателя,
> обходя этим самым настройки всяких Outlook'ов.
Не всегда, это только один из вариантов.
В статье написано - автор имел счастье наблюдать,
как вирус рассылал спам через местный SMTP-сервер.

> антивирус проверяет проходящую почту
Антивирус - не панацея.
Предложенное решение (которое тем более не панацея) его дополняет.
Кроме того, вирус может рассылать не только себя, но и спам.

Cообщить модератору | Наверх | ^

17. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от pev2000 email(??) on 09-Ноя-04, 22:29 
>  через местный SMTP-сервер.
что значит местный? (это тот который прописан в оутлуке?) да если у меня все оутлуком пользуются - стандарт корпоративный, даже если кто то не пользуется им, а пользуется чем то вроде Мыши... сам подумай контора - была ну так 20-50 юзеров, предположим ты облетел всех и настроил им оутлук и альтернативный... но потом вы начали рости-рости и выросли до 1000 машин? всех настраивать будешь? всех обучать будешь?
да и потом, если мы хотим защитить мир от нас-зараженых тогда закрыть всем доступ на 25 порт-99% панацея, если уж на то пошло =)
возмем к примеру новомодный вирус I-Worm.Bagle.at для отправки почты червь использует прямое подключение к SMTP-серверу получателя. взято с >>>
http://www.viruslist.com/ru/viruslist.html?id=146123472

и таких примеров этому виру море большинство идут напрямую на сервер получателя - либо блочить все конекты на не местные 25-е, либо использовать заворот на сервер с антивиром(у меня локальный он же), да если от пользователя идет много писем - 100 к примеру за минуту то его можно смело блочить(если маленькая конторка) и идти стучать в бубен пользователю, либо сидеть и смотреть дальше =)

Cообщить модератору | Наверх | ^

19. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 10-Ноя-04, 19:46 
> да если у меня все оутлуком пользуются - стандарт корпоративный,
В статье рассмотрено несколько решений для разных вариантов,
в том числе и такого, при котором нужен именно Аутлук, и только он.
Решение - вместо фальшивого почтового клиента и сервера используется фальшивая запись в локальном WAB'е,
а на сервере - срабатывание по приходу писем на этот адрес.

> но потом вы начали рости-рости и выросли до 1000 машин?
Вот для этого и нужен аналог WabTool с интерфейсом командной строки.

> да и потом, если мы хотим защитить мир от нас-зараженых,
> тогда закрыть всем доступ на 25 порт-99% панацея
Не только и не столько перекрыть ему кислород,
сколько помочь обнаружить его присутствие в дополнение к уже существующим средствам.

Cообщить модератору | Наверх | ^

3. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Spark email on 09-Ноя-04, 12:07 
Проблема только в том, что кламав не все вирусы отлавливает. Как-то архивы с паролями и т.д.%D%A%D%AРеализовывал такую схему, когда при обращении к внешнему смтп, делался REDIRECT на локальный smtp, но больно неудобно разбирать почту вирусную в ручную. А без разбора - понту ее ловить. Потому - все таки вернулся к схеме - заблокирован smtp в FORWARD, вся исходящяя почта сканируеться kavd - зараженная складывается в папку админу, где проходят проверку на вшивость.
Cообщить модератору | Наверх | ^

4. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от BlackSir email(??) on 09-Ноя-04, 12:33 
>Проблема только в том, что кламав не все вирусы отлавливает.
На самом деле - практически все, а насчет архивов с паролями есть опция:
# Mark encrypted archives as viruses (Encrypted.Zip, Encrypted.RAR).
# Default: disabled
#ArchiveBlockEncrypted


>А без разбора - понту ее ловить.
А вы никогда в блок-листы не попадали? Со 100тыс. вирей в сутки это более чем реально :-(
Лечить клиентские машины в моем случае нельзя. Можно только раз в неделю(или чаще, пока не надоест) звонить клиентам и напоминать что у них де, злёбный вирус поселился. Зато когда на mail.ru, mtu-net.ru и т.п. почта перестает ходить они первые будут звонить - ругацца.

Cообщить модератору | Наверх | ^

8. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Аноним on 09-Ноя-04, 16:06 
Служба безопасности после первого abuse звонит клиенту, показывает договор и ласково обьясняет, что они были отключены нах, и будут включены после того, как все у себя почистят. А если не так, то виноваты в этом манагеры, слишком активно лижущие клиентам задницу и заставляющие тем же заниматься и технарей.
Cообщить модератору | Наверх | ^

10. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 09-Ноя-04, 16:41 
>> Проблема только в том, что кламав не все вирусы отлавливает.
> На самом деле - практически все, а насчет архивов с паролями есть опция:
Всегда найдётся архив, который понимает рабочая станция с Windows, но не поймёт сервер с Юнихом.
Всегда найдётся вирус, не успевший попасть в базу.
Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
или принесённый пользователем на флэшке файл.
Cообщить модератору | Наверх | ^

18. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от pev2000 email(??) on 09-Ноя-04, 22:38 
> Всегда найдётся вирус, не успевший попасть в базу.
Да такое бывает обносляеся чаще!!!

> Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
  Уважаемый! Вы сами имели честь читать статью? (если коротко: "Там обисан способ отлова писем которые хотят во внешний мир, то есть защита мира от нас (от наших клиентов) завирусованых")
Выход вира через отправку с Веб-страницы %-) я снимаю свою панаму, перед этим вирусо-писателем =)

> или принесённый пользователем на флэшке файл.
Да бывает такие печальные случаи когда новый "I-Worm.Mydoom" приносят на дискетке ;-) и просят его поглядеть: "Что то прислали - не открывается"

Cообщить модератору | Наверх | ^

20. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 10-Ноя-04, 19:53 
>> Всегда найдётся вирус, не успевший попасть в базу.
> Да такое бывает обносляеся чаще!!!
А если вирус атаковал вас раньше, чем Clam успел выпустить обновление?

>> Всегда найдётся путь в обход Clam'a, например, через Веб-страницу
>  Уважаемый! Вы сами имели честь читать статью?
Не только читал, но и написал её тоже я.

>Выход вира через отправку с Веб-страницы %-)
Имелся в виду не выход вируса от нас во внешний мир,
а его проникновение из внешнего мира к нам.
Разве не может вирус распространяться через Веб,
чтобы рассылать спам через мыло?
Clam интегрируется со Сквидом, но, насколько мне известно,
решение ещё не настолько обкатанное, как с SMTP-сервером.
К тому же Веб-клиент может получать с вирусом страницу кусками/многопоточно/etc. - тут антивирус на проксе не поможет.

Cообщить модератору | Наверх | ^

16. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Spark email on 09-Ноя-04, 20:13 
Снова таки - для корпоративного антивиря кламав не подходит - хоть убейте.
Если у тебя почты от 5000 пользователей - и доля не блокированных вирусов 2-3 процента - действительно немного. Но когда почты не много (пусть 30 мег в день) и есть возможность смотреть всю почту вручную (просматривать отлупы и т.д.) то 2-3 неотловленных вируса - это бедствие.

>А вы никогда в блок-листы не попадали? Со 100тыс. вирей в сутки это более чем реально :-(

не доводилось, доводилось выводить незадачливых клиентов из блеклистов.

Но снова таки, перед нами разные задачи стоят. У Вас сервер ISP, у меня корпоративный почтовик.

согласен с Вашими методами, в Вашем случае.

Cообщить модератору | Наверх | ^

5. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Дмитрий Ю. Карпов on 09-Ноя-04, 13:16 
Я просто блокирую порт:25 для всех получателей, кроме известных релеев (мой релей, релей провайдера, mail.ru и т.п.). Вирус хочет послать себя напрямую - а в ответ тишина... :)
Cообщить модератору | Наверх | ^

6. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от BlackSir email(??) on 09-Ноя-04, 13:22 
>Я просто блокирую порт:25 для всех получателей, кроме известных релеев (мой релей,
С удовольствием заблокировал бы всех нафик, но клиенты выть будут, да и большой начальник не велит :-(

>релей провайдера, mail.ru и т.п.). Вирус хочет послать себя напрямую -
>а в ответ тишина... :)
Ммм... а если вирус захочет послать себя на mail.ru?

Cообщить модератору | Наверх | ^

22. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Дмитрий Ю. Карпов on 10-Ноя-04, 22:55 
BlackSir:
> С удовольствием заблокировал бы всех нафик, но клиенты выть будут, да и большой начальник не велит :-(

В договор с клиентом пишем пункт, по которому клиент отвечает кошельком за рассылку вирусов. После этого клиент сам просит заблокировать port:25.
Остальные просто сдают провайдеру список используемых ими релеев (чтобы не возиться, port:25 для этих релеев открывается всем клиентам сразу).


BlackSir:
> Ммм... а если вирус захочет послать себя на mail.ru?

А там его ждёт антивирус. :)
Фишка в том, чтобы закрыть вирусам путь на серверы маленьких контор, где нет антивирусов.


Ilya Evseev:
> мало блокировать, надо ещё ставить в известность администратора.

Утречком попил кофе, почитал логи ipfw (он это умеет). Потом взял бензопилу из Doom и пошёл к юзеру с криком: "какой $%& тут пытался отправлять почту, минуя мой релей?". :)


Ilya Evseev:
> как всё-таки быть с вирусами, которые рассылают себя не напрямую, а через сервер отправителя?

Давить антивирусом.

Ilya Evseev:
> но где гарантия, что через него всё-таки никто не просочился и не просочится?

Гарантий нет. Есть лишь способ снизить количество вирусов.


Ilya Evseev:
> современный вирус не обязательно будет атаковать других своими копиями - он может атаковать и спамом.

Большиснтво сапм-машин работают напрямую - ту-то блокировка работает лучше, чем перенаправление.


Аноним:
> Служба безопасности после первого abuse звонит клиенту, показывает договор и ласково обьясняет, что они были отключены нах

Не "нах", а только "по порту:25" - этого достаточно.

Cообщить модератору | Наверх | ^

12. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 09-Ноя-04, 16:44 
Во-первых, мало блокировать, надо ещё ставить в известность администратора.
Во-вторых, как всё-таки быть с вирусами, которые рассылают себя не напрямую, а через сервер отправителя?
Cообщить модератору | Наверх | ^

13. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от BlackSir email(??) on 09-Ноя-04, 16:49 
>Во-первых, мало блокировать, надо ещё ставить в известность администратора.
>Во-вторых, как всё-таки быть с вирусами, которые рассылают себя не напрямую, а
>через сервер отправителя?


Зацени:

SMTP-server inet.vnii.number.ru virus report 2004-09-30
Total rejected viruses: 70554
---------------------------------------------------
     IP           E-mails     Virus(es)
---------------------------------------------------
192.168.212.14    43744    Worm.Bagle.AP(43744)
192.168.200.199   10668    Worm.Bagle.AP(10668)
192.168.218.11     5290    Worm.Mydoom.M(4877), Worm.SomeFool.Gen-1(413)
192.168.212.11     5190    Worm.Bagle.AP(5190)
212.248.40.206     2186    Worm.Mydoom.I(1993), Worm.Bagle.AG(193)
192.168.200.138    1953    Worm.Bagle.AP(1953)
192.168.220.24      772    Worm.Bagle.Gen-vbs(772)
192.168.220.10      607    Worm.Bagle.AP(607)
212.248.40.166      103    Worm.Zafi.B(103)
195.151.227.101       6    Worm.Bagle.AP(6)
213.142.201.132       6    Worm.Bagle.AP(6)
212.116.236.22        5    Worm.Bagle.AP(3), Worm.Bagle.Z(2)
194.149.234.67        3    Worm.Bagle.AP(3)
195.128.137.104       3    Worm.Bagle.AP(3)
217.26.165.3          3    Worm.Bagle.AP(3)
81.201.65.61          2    Worm.Mydoom.I(2)
195.239.6.228         2    Worm.Mydoom.M(2)
62.118.144.239        2    Worm.SomeFool.P(2)
80.95.35.63           1    Worm.SomeFool.P(1)
60.48.81.56           1    Worm.SomeFool.P(1)
212.248.40.142        1    Worm.Bagle.AP(1)
80.95.41.53           1    Worm.SomeFool.P(1)
212.248.100.79        1    Worm.Bagle.Gen-vbs(1)
212.176.219.2         1    Worm.Bagle.Gen-zippwd(1)
62.118.148.132        1    Worm.SomeFool.P(1)
62.213.0.89           1    Worm.Bagle.AP(1)
62.118.156.45         1    Worm.SomeFool.P(1)


Virus toplist
---------------------------------------------------
     %       E-mails     Virus
---------------------------------------------------
   89.52      63157    Worm.Bagle
    9.74       6874    Worm.Mydoom
    0.60        420    Worm.SomeFool
    0.15        103    Worm.Zafi

Cообщить модератору | Наверх | ^

21. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 10-Ноя-04, 19:56 
>Зацени:
>SMTP-server inet.vnii.number.ru virus report 2004-09-30
>Total rejected viruses: 70554
> ...
Впечатляющий список, но где гарантия, что через него всё-таки никто не просочился и не просочится?;-)) Кроме того, исходящий спам тоже ловится? Ведь современный вирус не обязательно будет атаковать других своими копиями - он может атаковать и спамом.
Cообщить модератору | Наверх | ^

26. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от bob (??) on 11-Ноя-04, 16:10 
Прекрасная статья, большое Вам спасибо. Правда, по прочтении у меня возник дурацкий вопрос. Вот наша корпорация юзает Бат, SMTP на нестандартном порту - это значит, что "питательная среда" для вируса отсутствует. Зачем же тогда создавать ее своими руками? Ну пришел юзеру вирус, ну запустил его юзер. Размножиться он (вирус) не может, благо окружение нестандартное. Максимум проблем - отформатированный юзерский хард:) Но от этого предложенная Вами система все равно не спасет.
Cообщить модератору | Наверх | ^

29. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 14-Ноя-04, 03:50 
> Размножиться он (вирус) не может
Один и тот же вирус может уметь размножаться не только по почте,
а многими способами. Среди них могут быть и те, которые работают
только в локальной сети, например, эксплойты в SMB,
или заражение DOC-файлов в общих папках на сервере.

> Максимум проблем - отформатированный юзерский хард
> Но от этого предложенная Вами система все равно не спасет.
Если он сначала пытается размножиться по почте,
и попадётся в почтовую ловушку,
то у сисадмина появится время этому помешать.

Cообщить модератору | Наверх | ^

23. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от pazke email on 11-Ноя-04, 10:00 
А не проще ли сделать так:
- настраиваем на почтовом сервере SMTP авторизацию;
- запрещаем принимать почту из локальных сетей при отсутствии авторизации;
- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.

Поскольку практически 100% вновь появляющихся почтовых червей рассылают письма прямиком на серверы получателей, все они получат отлуп. Если же попадется какой-то старинный вирь использующий MUA для рассылки себя, так его скосит установленный на почтовике clamav. А чтобы капать на мозги пользователям зараженных компьютеров можно легко соорудить анализатор логов почтовика, например на базе logcheck'a. И никаких извращений...

Cообщить модератору | Наверх | ^

24. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Vladimir email(??) on 11-Ноя-04, 11:53 
Опишите заворот 25 порта на маршрутизаторе типа киско 36хх пожалуйста.
Cообщить модератору | Наверх | ^

28. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 14-Ноя-04, 03:45 
>А не проще ли сделать так:
Не надо путать две задачи:
1) обнаружить вирус,
2) пресечь его деятельность.
Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую.
Cообщить модератору | Наверх | ^

30. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от pev2000 email(??) on 14-Ноя-04, 11:53 
>>А не проще ли сделать так:
>Не надо путать две задачи:
>1) обнаружить вирус,
>2) пресечь его деятельность.
>Почтовые ловушки, описанные в статье, решают не столько вторую, сколько первую.

Брррр... ерудна какая та, если уж случилось первое(обнаружили мы вирус) почему бы нам не сделать второе(пресечь его разпространение) и правильно сказали соорудить маленький анализатор логов и все пучком, а если у меня будет в сети такая настройка то _большинство_ виров уйдет ровно через шлюз и чихать им на настройки оутлука... а может потому что он у меня отсутствует? =)

если вдруг случилось что одна из машин заразилась неизвестной заразой, тогда один из клиентов начинает бурную деятельность в логи это пишится а после N-го коннекта клиент блочиться до разбора полетов

Cообщить модератору | Наверх | ^

31. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от pev2000 email(??) on 14-Ноя-04, 12:46 
>А не проще ли сделать так:
>- настраиваем на почтовом сервере SMTP авторизацию;
>- запрещаем принимать почту из локальных сетей при отсутствии авторизации;
>- на маршрутизаторе делаем заворот 25 порта на наш почтовый сервер.
>
вот-вот! правильное решение, но тут один "но!" - это отправка через "например" mail.ru? а у нас стоит заворот на сервер с авторизацией и клиент получит отлуп, тут придется применять еще кучу приблуд или для довереных клиентов разрешать посылку без авторизации

Кстати! spamassassin бывает пресекает вирусы еще до того как они дойдут до антивуриса, так что уважаемый Ilya Evseev не думаю что хоть некоторые конторы согласятся терпеть два сервера =) а тем более(еще раз повторюсь) не каждый админ будет городить такой огород!

Тем более если у меня есть в сети клиент который по ряду причин использует оутлук и не может использовать что либо другое, тогда нужно будет настроить его оутлук на правильный сервер, при получении этим клиентом вируса

Cообщить модератору | Наверх | ^

25. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Kiev1.org email on 11-Ноя-04, 14:14 
Так spamassassin на порядок лучше ловит и неизвестные вирусы - зачем антивирус - я вообще не понимаю - правильно баес настроить, правила подкрутить и все
Cообщить модератору | Наверх | ^

27. "Организация почтовых ловушек для обнаружения вирусов"
Сообщение от Ilya Evseev on 14-Ноя-04, 03:43 
>Так spamassassin на порядок лучше ловит и неизвестные вирусы
И полиморфные тоже???


Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру