Jak znale??/zablokowa? robala?

Discussion:

(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)

Don Piotr

2010-09-05 06:15:15 UTC

Witam

Mam pod opieką sieć komputerową. Ostatnio konfigurując serwer poczty
okazało się (dzięki http://cbl.abuseat.org/) że mam trojana Cutwail na
którymś z komputerów. Z jednej strony numer komputerów jest
wystarczająco duży aby sprawdzić wszystkie a pozatym są rozsiane po
całym budynku (tak że napewno bym stracił kilka kilo co jest
niepożądane), poza tym od czasu do czasu gościmy różne osoby, które
podłanczają własne laptopy do sieci. Niestety niemogę zablokować portu
25 ponieważ wszystkie biura używają różnych serwerów pocztowych
zewnątrznych.

Pytanie: Można jakoś się dowiedzieć z kąd Cutwail rozsyła spam?
Sieć jest podłączona przez Cisco asa 5505 do Internetu. Może by można
było by go wysledzić kierując cały ruch na port 25 poprzez jeden
serwer z Linuxem i tam ustawić jakoś iptables?

Za odpowiedzi z góry dziekuję.

Piotr

Adam Przybyla

2010-09-05 12:18:46 UTC

Permalink

Post by Don Piotr
Witam
Mam pod opieką sieć komputerową. Ostatnio konfigurując serwer poczty
okazało się (dzięki http://cbl.abuseat.org/) że mam trojana Cutwail na
którymś z komputerów. Z jednej strony numer komputerów jest
wystarczająco duży aby sprawdzić wszystkie a pozatym są rozsiane po
całym budynku (tak że napewno bym stracił kilka kilo co jest
niepożądane), poza tym od czasu do czasu gościmy różne osoby, które
podłanczają własne laptopy do sieci. Niestety niemogę zablokować portu
25 ponieważ wszystkie biura używają różnych serwerów pocztowych
zewnątrznych.
Pytanie: Można jakoś się dowiedzieć z kąd Cutwail rozsyła spam?
Sieć jest podłączona przez Cisco asa 5505 do Internetu. Może by można
było by go wysledzić kierując cały ruch na port 25 poprzez jeden
serwer z Linuxem i tam ustawić jakoś iptables?
Za odpowiedzi z góry dziekuję.

... server z linuksem zapewni Ci wieksza diagnostyke i przystosowanie
do zmieniajacych sie problemow w sieci. Pamietaj, ze takie sytuacje moga sie
powtarzac, aktualnie nie wiesz ile masz zarazonych komputerow, moze ich byc
wiecej niz jeden. Latwiej bedzie ci wykrywac takie sprawy w przyszlosci. Z powazaniem
Adam Przybyla

Lemat

2010-09-05 14:59:25 UTC

Permalink

Post by Don Piotr
Mam pod opieką sieć komputerową. Ostatnio konfigurując serwer poczty
okazało się (dzięki http://cbl.abuseat.org/) że mam trojana Cutwail

nie zasługujesz na serwer poczty. Niech zatrudnią kogoś, komu się będzie
chciało naprawdę opiekować a nie tylko odwalać prowizorkę.

Post by Don Piotr
Niestety niemogę

możesz, tylko masz to w D.../nie chce ci się/nie masz charyzmy (właściwe
podkreślić)

Post by Don Piotr
zablokować portu
25 ponieważ wszystkie biura używają różnych serwerów pocztowych
zewnątrznych.

i powinny zastać przekonfigurowane na port 587 - bo wszyscy tak trąbią od
lat. Nawet tepsie z milionem klientów się udało.

Post by Don Piotr
Pytanie: Można jakoś się dowiedzieć z kąd Cutwail rozsyła spam?
Sieć jest podłączona przez Cisco asa 5505 do Internetu. Może by można
było by go wysledzić kierując cały ruch na port 25 poprzez jeden
serwer z Linuxem i tam ustawić jakoś iptables?

iptables -I FORWARD -p tcp --dport 25 -j LOG
to IP, które będzie miało najwięcej wpisów będzie najbardziej podejrzane

--
Pozdrawiam
Lemat

Don Piotr

2010-09-05 20:57:03 UTC

Permalink

Post by Lemat
nie zasługujesz na serwer poczty. Niech zatrudnią kogoś, komu się będzie
chciało naprawdę opiekować a nie tylko odwalać prowizorkę.

Tyle ze ja te prace robie jako wolontariusz

Post by Lemat
możesz, tylko masz to w D.../nie chce ci się/nie masz charyzmy (właściwe
podkreślić)

moze chodzi o charyzme

Post by Lemat
i powinny zastać przekonfigurowane na port 587 - bo wszyscy tak trąbią od
lat. Nawet tepsie z milionem klientów się udało.

Tego to nie wiedzialem. Zawsze mozna sie czegos nauczyc. Dzieki,
pomysle nad tym rozwiazaniem.

Post by Lemat
iptables -I FORWARD -p tcp --dport 25 -j LOG
to IP, które będzie miało najwięcej wpisów będzie najbardziej podejrzane

To rozwiazanie moze mi rozwiaze problem na razie, zobaczymy.

Jacek Politowski

2010-09-05 16:07:51 UTC

Permalink

Nie znam ASY, ale nie sądzę aby trzeba było robić w niej aż takie
kombinacje.

O, można np. użyć capture:
http://www.cisco.com/en/US/docs/security/asa/asa70/command/reference/c.html#wp1950270

--
Jacek Politowski

Jacek Kalinski

2010-09-05 14:00:13 UTC

Permalink

Post by Don Piotr
Mam pod opieką sieć komputerową. Ostatnio konfigurując serwer poczty
okazało się (dzięki http://cbl.abuseat.org/) że mam trojana Cutwail na
którymś z komputerów. Z jednej strony numer komputerów jest
wystarczająco duży aby sprawdzić wszystkie a pozatym są rozsiane po
całym budynku (tak że napewno bym stracił kilka kilo co jest
niepożądane), poza tym od czasu do czasu gościmy różne osoby, które
podłanczają własne laptopy do sieci. Niestety niemogę zablokować portu
25 ponieważ wszystkie biura używają różnych serwerów pocztowych
zewnątrznych.
Pytanie: Można jakoś się dowiedzieć z kąd Cutwail rozsyła spam?

#v+
Cutwail sends a number of parameters to one of the servers listed below,
and attempts to download a file:

66.246.252.213
67.18.114.98
74.52.122.130
208.66.194.221
208.66.194.241
66.246.252.215
66.246.72.173

If this fails, it tries to use one of the other servers from the list.
Some variants use a smaller subset of this list of servers, and some
instead attempt to contact the server at managed.unexpand.com.
[...]
Harvested addresses are saved to C:\as.txt and posted to 208.66.195.169.

A second executable contacts a server at 216.195.58.17. This returns a
list of web servers, search parameters and other details. Various servers
from this list are contacted and provided with random search parameter
values from the list. The results appear to be used to generate email
subject lines and possibly message bodies.

The third executable connects to a server at 208.66.195.162. This may
provide it with a list of email recipients and other e-mail parameters.
It then attempts to send the email to these recipients.
#v-

Post by Don Piotr
Sieć jest podłączona przez Cisco asa 5505 do Internetu. Może by można
było by go wysledzić kierując cały ruch na port 25 poprzez jeden
serwer z Linuxem i tam ustawić jakoś iptables?

Wystarczy, że ustawisz reguły na te IP i powinieneś go wyłapać jakoś.
Pytanie jest natomiast inne - skąd wiesz (nie znając źródła), że
to na pewno ten rootkit? Dość odważne stwierdzenie.

PS: cytaty pochodzą z:
http://www.ca.com/securityadvisor/virusinfo/virus.aspx?id=62470

Jacek

Don Piotr

2010-09-05 20:40:24 UTC

Permalink

Post by Jacek Kalinski
Wystarczy, że ustawisz reguły na te IP i powinieneś go wyłapać jakoś.
Pytanie jest natomiast inne - skąd wiesz (nie znając źródła), że
to na pewno ten rootkit? Dość odważne stwierdzenie.

W logach postfixa wyczytalem ze niemoze dostarczyc poczty poniewaz
odlegle serwery SMTP sprawdzaja IP w bazie Spamhaus. W tej bazie
istnieje wpis z moim IP z wytlumaczeniem ze zostlem zablokowany
poniewaz ktorys komputer w mojej sieci rozsyla spam przez Cutwail.

Czy moge byc pewien, ze dobrze go rozpoznali?

Konrad Stepien

2010-09-06 18:12:42 UTC

Permalink

Post by Don Piotr

Spamhaus jest raczej porządnym serwisem. Nie spotkałem się z przypadkiem,
żeby kogoś niesłusznie wpisali, a paręnaście razy miałem z tym problem
(głównie z tym że do mnie nie mogli wysłać, choć raz też tam wpadłem
w bardzo głupi sposób).

--
Konrad Stępień