ネットワーク上で大量メール送信を行っているコンピューターを見つけるにはどうすればよいですか?
私のマシンの1つがスパムを送信していることがISPから通知されました。これは、SSHの脆弱性が原因でハッキングされたcygwinを実行しているWindowsマシンで約3か月前に発生しました。
ハッカーのセットアップIISとSMTP。マシンをクリアし、すべてのサービスが無効になっているので、マシンは大丈夫だと思います
それがどのマシンから来ているのかを特定する他の方法があるかどうか疑問に思っていますか?
ISPには、送信元ポート、宛先ポート、宛先IPなどの有用な情報はありません...何もありません。
ルーター、Windows 7 PC、およびWindows XP PCでDD-WRTを実行しています。
DD-WRTで遊んでから久しぶりですが、ほとんどのビジネスレベルのルーターでは、ファイアウォールルールが一致するたびにログを書き込むことができます。
ポート25のファイアウォールルールを作成し(マスメーラーが標準のSMTPポートを使用していると想定)、発生するたびにソースIPを使用してログを書き込むようにします。そうすれば、犯人を見つけるのはかなり簡単なはずです。
ルーターとLANの間にハブを接続し、コンピューターをハブに接続して、MicrosoftネットワークモニターやWiresharkなどのトラフィックモニターをハブにインストールすることができます。
その後、進行中のすべてを監視し、フィルターなどを設定できるようになります
また、netflowまたはSNMPロギングなしで追跡する方法もわかりません。ただし、メールサーバーへの送信SMTPトラフィックを制限することをお勧めします
以下は、ネットワーク192.168.1.0/24上の192.168.1.2のメールサーバーIPを想定しています。
iptables -I FORWARD 1 -p tcp -s 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD 2 -p tcp -s 192.168.1.1/24 --dport 25 -j REJECT
Wiresharkを試してみてください-そのような問題を報告するときに、私たちの会社が人々に提案することです:
ネットワークモニターまたは パケットスニファー アプリケーションをインストールして、ネットワークで何が起こっているかを確認します。これで、どのワークステーションがすべてのSMTPトラフィックを送信しているかを把握できるはずです。幸運を!