Już po raz drugi zdarzyło się, że któryś z komputerów w sieci zaczął
rozsyłać spam. Przeskanowanie dostępnymi antywirusami itp nic nie wykrywa.

Firewall loguje wszystkie pakiety zablokowane i połączenia z portem 25.
Przed wysyłkom spamu w logach firewalla pojawia się powtórzone kilka
identycznych sekwencji:

Jun 30 10:17:48 linux kernel: Shorewall:loc2net:ACCEPT:IN=eth1 OUT=eth0
SRC=192.168.0.13 DST=159.50.169.77 LEN=48 TOS=0x00 PREC=0x00 TTL=127
ID=3466 DF PROTO=TCP SPT=1230 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

Jun 30 10:17:48 linux kernel: Shorewall:rfc1918:DROP:IN=eth0 OUT=eth1
SRC=192.168.81.14 DST=192.168.0.13 LEN=76 TOS=0x00 PREC=0xE0 TTL=238
ID=14567 DF PROTO=ICMP TYPE=3 CODE=1 [SRC=192.168.0.13 DST=159.50.169.77
LEN=48 TOS=0x00 PREC=0x00 TTL=109 ID=3466 DF PROTO=TCP SPT=1230 DPT=25
WINDOW=65535 RES=0x00 SYN URGP=0 ]

a za drugim razem

Jul 7 09:38:49 linux kernel: Shorewall:loc2net:ACCEPT:IN=eth1 OUT=eth0
SRC=192.168.0.32 DST=65.55.103.55 LEN=48 TOS=0x00 PREC=0x00 TTL=127
ID=32262 DF PROTO=TCP SPT=4733 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

Jul 7 09:38:49 linux kernel: Shorewall:rfc1918:DROP:IN=eth0 OUT=eth1
SRC=10.22.100.1 DST=192.168.0.32 LEN=56 TOS=0x00 PREC=0x00 TTL=240
ID=11744 PROTO=ICMP TYPE=3 CODE=13 [SRC=192.168.0.32 DST=65.55.103.55
LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=32262 DF PROTO=TCP INCOMPLETE [8
bytes] ]


eth0 - internet

eth1 - sieć wewnętrzna

adres 192.168.0.13 i 32 to te komputery spamujące (Windows XP, wszystkie
poprawki itp)

pozostałe adresy - obce

Czy komuś może to coś przypomina? Jak to zlikwidować i zabezpieczyć się
na przyszłość?