Старый 05.04.2017, 21:13   #1
Специалист
 
Регистрация: 22.09.2010
Адрес: Ростов-на-Дону
Сообщений: 262
Вес репутации: 124
Allexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордится
По умолчанию IP постоянно попадает в БАН

Приветствую.
Есть проблема, нужен совет как решить её т.к. уже закол****а она...
Имеется почтовый сервер, IP которого постоянно попадает в БАН лист СПАМХАУСА. Спам с него не рассылается, с него вообще ничего не рассылается, кроме как мне приходят отчёты, т.е. писем с него больше никому не может отправляться - это просто не возможно...
СпамХаус постоянно добавляет его в бан и даёт пояснение, которое я пишу ниже... Меня просто убивает то, что письмо отправляются только на мой личный ящик по 2-3 в день и никакой почтовой активности больше нет, а в бан попадает.
Вот пояснение:
Цитата:
This IP is infected with, or is NATting for a machine infected with s_kronos
Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search.
This was detected by observing this IP attempting to make contact to a s_kronos Command and Control server, with contents unique to s_kronos C&C command protocols.
This was detected by a TCP/IP connection from "***мой IP****" on port "60833" going to IP address "192.42.116.41" (the sinkhole) on port "80".
The botnet command and control domain for this connection was "racdglnm.ru".
Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address "192.42.116.41" or host name "racdglnm.ru" on any port with a network sniffer such as wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to "192.42.116.41" or "racdglnm.ru". See Advanced Techniques for more detail on how to use wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.
Please note that some of the above quoted information may be empty ("") or "na" or "-". In those cases, the feed has declined or is unable to give us that information. Hopefully enough information will be present to allow you to pinpoint the connections. If not, the destination ports to check are usually port 80, 8080, 443 or high ports (around 16000) outbound from your network. Most of these infections spray these connections in high volume, and they should stand out.
This detection corresponds to a connection at 2017-04-05 14:09:28 (GMT - this timestamp is believed accurate to within one second).
These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.
По описанию я так понимаю, что мой сервер случайно посещает IP 192.42.116.41 порт 80 или сайт racdglnm.ru , а он автоматом кидает абузу якобы ему шлют спам? Это типа такой хитрый сайт, спецом так делает..?
Allexx вне форума   Ответить с цитированием
Старый 05.04.2017, 21:49   #2
Специалист
 
Аватар для vipraskrutka
 
Регистрация: 03.12.2008
Адрес: foxi.biz
Сообщений: 341
Вес репутации: 143
vipraskrutka - просто великолепная личностьvipraskrutka - просто великолепная личностьvipraskrutka - просто великолепная личностьvipraskrutka - просто великолепная личностьvipraskrutka - просто великолепная личностьvipraskrutka - просто великолепная личностьvipraskrutka - просто великолепная личность
Отправить сообщение для vipraskrutka с помощью ICQ
По умолчанию

у вас сервер взломан, вот и рассылает спам наверное.
vipraskrutka вне форума   Ответить с цитированием
Старый 05.04.2017, 22:52   #3
Специалист
 
Регистрация: 22.09.2010
Адрес: Ростов-на-Дону
Сообщений: 262
Вес репутации: 124
Allexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордится
По умолчанию

Не взломан он, с него исходящие пакеты идут только на 80ый порт, т.е. только на просмотр сайтов. Письма он может отсылать только на мою почту, т.е. только на один разрешённый IP. Получается что с него можно только открывать и просматривать сайты. Это точная информация т.к. всё закрыто на шлюзе...
Кому не в лом, откройте сайт racdglnm.ru - откроется пустая страница, после чего через несколько часов проверьте свой ip с которого открывали на странице https://www.spamhaus.org/query/ip/***.***.***.*** - где звёздочки - это Ваш IP.
Его оттуда легко удалить потом... Чтобы удалить - просто на этой же странице введёте капчу и он удалится. Просто интересно...

Добавлено через 54 минуты
Всё... Можно не проверять, с телефона через сотовую связь проверил - так оно и есть!

Последний раз редактировалось Allexx; 05.04.2017 в 22:52. Причина: Добавлено сообщение
Allexx вне форума   Ответить с цитированием
Старый 05.04.2017, 23:27   #4
Мастер
 
Регистрация: 17.07.2012
Адрес: Москва
Сообщений: 795
Вес репутации: 134
qkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущееqkowlew - прекрасное будущее
По умолчанию

Собственно, если за вашим сервером нет сетки, а он самостоятелен, то описываю, как вам следует понимать присланную диагностику:

Ваш сервер взломан.
На нём висит (скорее всего) руткит и бот, который настроен на участие в некоем ботнете.

Этот ботнет был "заловлен" и его домены заабьюзены.
На заабьюзенный домен была (спамхаусом) повешена ловушка.

А бот, что висит и пытается работать с вашего сервера, попросту стучится в эту ловушку.

Чем он ещё там занимается (какое ему задание последнее прислал хозяин ботнета) - неизвестно. Может, ничего и не делает. Может, кого-то атакует...

Добавлено через 3 минуты
Сервер на какой операционке, кстати?

Последний раз редактировалось qkowlew; 05.04.2017 в 23:27. Причина: Добавлено сообщение
qkowlew вне форума   Ответить с цитированием
Старый 05.04.2017, 23:45   #5
Специалист
 
Регистрация: 22.09.2010
Адрес: Ростов-на-Дону
Сообщений: 262
Вес репутации: 124
Allexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордитсяAllexx - за этого человека можно гордится
По умолчанию

Тут не в операционке дело
На этом IP стоят 4 мощных сервера, у всех конфиги одни, на выход есть только доступ для просмотра сайтов и то только на http, т.е. только порт 80.
На всех 4ёх серверах запущен самописный бот вроде как у Яндекса, который сам бродит по интернету и посещает то, что найдёт, ну и запоминает соответственно всё, что найдёт.
Сервер ходит по сайтам, и натыкается на racdglnm.ru , а он в свою очередь автоматом кидает абузу в спамхаус - отсюда и бан .
Этот домен лежит на IP 192.42.116.41, у этого IP обратная DNS зона (PTR запись) "this-domain-is-sinkholed-by.abuse.ch" - тут сразу всё стало понятно )))
Это ловушка для ботов............

Пришлось учить бота обходить все IP у кого в PTR встречается abuse
Allexx вне форума   Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Сканирует но не не попадает в индекс kibergex Google, MSN, Yahoo 2 15.07.2012 03:57
Как такое попадает в основную базу? yolabiz Вопросы по работе системы 1 04.06.2011 04:14
В links.db попадает URL без слэша shirokov Ошибки при работе с системой 18 10.12.2010 15:42
Сайт попадает в BL Mistik Вопросы по работе системы 18 30.08.2010 19:58
Страница не попадает в выдачу ustin Google, MSN, Yahoo 8 03.04.2010 19:44


Часовой пояс GMT +3, время: 19:02.