Archief - spambot in bedrijf

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

peter79

Legacy Member
Goeiedag. Wij merken vanmorgen dat ons publiek ip adres opgegeven staat bij cbl.abuseat.org

This is the gheg spamBOT

You MUST patch your system and then fix/remove the trojan. Do this before delisting, or you're most likely to be listed again almost immediately.

If this IP is a NAT firewall/gateway, you MUST configure the NAT to prevent outbound port 25 connections to the Internet except from your real mail servers. Please see our recommendations on NAT firewalls

The Microsoft MSRT (Malicious Software Removal Tool) stands a good chance of being able to find/remove the malicious software. If you can find which machine the malware is on.


dat is de uitleg.

Nu is onze vraag, hoe vind je de schuldige pc of pcs ?

De mailserver zelf draait op linux ( is een zarafa dus compatiebel met exchange en wellicht langs die weg... )
dus de kans dat die besmet is is zo goed als onbestaande, ik ga er vanuit dat het een van de desktops van de gebruikers is.

Ik ben zelf Java arch. dus dit is echt niet mijn kennisgebied.

Tips plz !

Exit

Legacy Member
zoals dus de tekst meld
blokkeer de uitgaande poort 25 behalve voor de pc die mailserver is.

doe eens een scan op het netwerk (netwerk sniffer) en analyseer de data op poort 25 ... zodat ge de pc(ip) ziet van waar eht afkomstig is.

doe een netwerk scan voor spyware, virussen, .....

peter79

Legacy Member
hmm die poort 25 zal niet werken omdat dit type scanbot blijkbaar de mailserver zelf kan misbruiken

bugoff

Legacy Member
Het lijkt me zeer raar dat de pc mails zou sturen via de mailserver. Zoals Exit zegt, scan uw netwerk op pc's waarvan de poort 25 openstaat :)

op de linux kan je daarvoor het nmap commando gebruiken:

nmap -p 25 <ip>/24

bv: nmap -p 25 10.1.10.1/24

zou normaal voldoende moeten zijn :)

Yank

Legacy Member
peter79 zei:
hmm die poort 25 zal niet werken omdat dit type scanbot blijkbaar de mailserver zelf kan misbruiken
Als het via de mailserver zelf zou gebeuren, zou het via de logs toch makkelijk te achterhalen zijn vanwaar het komt? Niemand zal wel > 1000 mails/dag nodig hebben behalve de spambot, dus dan heb je hem er dan rap uitgehaald.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan