Форум SAPE.RU

Форум SAPE.RU (http://forum.sape.ru/index.php)
-   Курилка (http://forum.sape.ru/forumdisplay.php?f=22)
-   -   IP постоянно попадает в БАН (http://forum.sape.ru/showthread.php?t=97456)

Allexx 05.04.2017 21:13
IP постоянно попадает в БАН
 
Приветствую.
Есть проблема, нужен совет как решить её т.к. уже закол****а она...
Имеется почтовый сервер, IP которого постоянно попадает в БАН лист СПАМХАУСА. Спам с него не рассылается, с него вообще ничего не рассылается, кроме как мне приходят отчёты, т.е. писем с него больше никому не может отправляться - это просто не возможно...
СпамХаус постоянно добавляет его в бан и даёт пояснение, которое я пишу ниже... Меня просто убивает то, что письмо отправляются только на мой личный ящик по 2-3 в день и никакой почтовой активности больше нет, а в бан попадает.
Вот пояснение:
Цитата:
This IP is infected with, or is NATting for a machine infected with s_kronos
Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.
This was detected by observing this IP attempting to make contact to a s_kronos Command and Control server, with contents unique to s_kronos C&C command protocols.
This was detected by a TCP/IP connection from "***мой IP****" on port "60833" going to IP address "192.42.116.41" (the sinkhole) on port "80".
The botnet command and control domain for this connection was "racdglnm.ru".
Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address "192.42.116.41" or host name "racdglnm.ru" on any port with a network sniffer such as wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to "192.42.116.41" or "racdglnm.ru". See Advanced Techniques for more detail on how to use wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.
Please note that some of the above quoted information may be empty ("") or "na" or "-". In those cases, the feed has declined or is unable to give us that information. Hopefully enough information will be present to allow you to pinpoint the connections. If not, the destination ports to check are usually port 80, 8080, 443 or high ports (around 16000) outbound from your network. Most of these infections spray these connections in high volume, and they should stand out.
This detection corresponds to a connection at 2017-04-05 14:09:28 (GMT - this timestamp is believed accurate to within one second).
These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.
По описанию я так понимаю, что мой сервер случайно посещает IP 192.42.116.41 порт 80 или сайт racdglnm.ru , а он автоматом кидает абузу якобы ему шлют спам? Это типа такой хитрый сайт, спецом так делает..?

vipraskrutka 05.04.2017 21:49
у вас сервер взломан, вот и рассылает спам наверное.

Allexx 05.04.2017 22:52
Не взломан он, с него исходящие пакеты идут только на 80ый порт, т.е. только на просмотр сайтов. Письма он может отсылать только на мою почту, т.е. только на один разрешённый IP. Получается что с него можно только открывать и просматривать сайты. Это точная информация т.к. всё закрыто на шлюзе...
Кому не в лом, откройте сайт racdglnm.ru - откроется пустая страница, после чего через несколько часов проверьте свой ip с которого открывали на странице https://www.spamhaus.org/query/ip/***.***.***.*** - где звёздочки - это Ваш IP.
Его оттуда легко удалить потом... Чтобы удалить - просто на этой же странице введёте капчу и он удалится. Просто интересно...

Добавлено через 54 минуты
Всё... Можно не проверять, с телефона через сотовую связь проверил - так оно и есть! :)

qkowlew 05.04.2017 23:27
Собственно, если за вашим сервером нет сетки, а он самостоятелен, то описываю, как вам следует понимать присланную диагностику:

Ваш сервер взломан.
На нём висит (скорее всего) руткит и бот, который настроен на участие в некоем ботнете.

Этот ботнет был "заловлен" и его домены заабьюзены.
На заабьюзенный домен была (спамхаусом) повешена ловушка.

А бот, что висит и пытается работать с вашего сервера, попросту стучится в эту ловушку.

Чем он ещё там занимается (какое ему задание последнее прислал хозяин ботнета) - неизвестно. Может, ничего и не делает. Может, кого-то атакует... :)

Добавлено через 3 минуты
Сервер на какой операционке, кстати?

Allexx 05.04.2017 23:45
Тут не в операционке дело :)
На этом IP стоят 4 мощных сервера, у всех конфиги одни, на выход есть только доступ для просмотра сайтов и то только на http, т.е. только порт 80.
На всех 4ёх серверах запущен самописный бот вроде как у Яндекса, который сам бродит по интернету и посещает то, что найдёт, ну и запоминает соответственно всё, что найдёт.
Сервер ходит по сайтам, и натыкается на racdglnm.ru , а он в свою очередь автоматом кидает абузу в спамхаус - отсюда и бан :) .
Этот домен лежит на IP 192.42.116.41, у этого IP обратная DNS зона (PTR запись) "this-domain-is-sinkholed-by.abuse.ch" - тут сразу всё стало понятно :))))
Это ловушка для ботов............

Пришлось учить бота обходить все IP у кого в PTR встречается abuse :)


Часовой пояс GMT +3, время: 01:51.

Работает на vBulletin® версия 3.8.7.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Перевод: zCarot
SAPE.RU — система купли-продажи ссылок с главных и внутренних страниц сайтов.