История изменений
Исправление DALDON, (текущая версия) :
Вот и я про тоже... Что не всё так просто, и простыми методами я не знаю как исправить ситуацию... По этому я пришёл на форум собственно. :)
Да дело в том, что apache и всё прочее там уже нафиг не нужно давно. Сейчас там процессов то отсилы с десяток (httpd нету среди них). Из нужных служб: только маршрутизирует трафик, немного фаерволит, и openvpn там крутится с mpd на пару... Ну и ещё один демон.
В общем у меня такое подозрение, что: в своё время сломали apache, подзакинули мне туда скриптов... И теперь скрипты просыпаются раз в очень редко, и моя машинка становится участником ботнет сети.
Пока запилил вот такое:
# crontab -l
@daily killall tcpdump ; tcpdump -i sk0 src host gw.xxx.ru and dst port smtp > "/var/log/tcpdump-`date`"
И аналогичную команду запилил на почтовом сервере в лок. сети:
@daily killall tcpdump ; tcpdump -i eth1 src host mail.xxx.ru and dst port mail > "/var/log/tcpdump-`date`"
Ну теперь надеюсь, что у меня будут посуточные логи... И я когда в очередной раз попаду в CBL (а попаду я похоже в него полюбому...), посмотрю чего там написано в плане времени про мой ip, и таким образом смогу посмотрев логи tcpdump понять, с какой машины у меня идёт спам. Или с почтовика, или действительно шлюз поломан.
Что я ещё могу сделать? Как вариант, конечно я могу поставить новый шлюз... Но не очень хочется этого делать (из-за vpn в частности...). Там openvpn 1.x стоит с кучей сертификатов.
Может быть у Вас есть идеи? Как мне пока прикрыть попу по максимуму? :)
Исправление DALDON, :
Вот и я про тоже... Что не всё так просто, и простыми методами я не знаю как исправить ситуацию... По этому я пришёл на форум собственно. :)
Да дело в том, что apache и всё прочее там уже нафиг не нужно давно. Сейчас там процессов то отсилы с десяток (httpd нету среди них). Из нужных служб: только маршрутизирует трафик, немного фаерволит, и openvpn там крутится с mpd на пару... Ну и ещё один демон.
В общем у меня такое подозрение, что: в своё время сломали apache, подзакинули мне туда скриптов... И теперь скрипты просыпаются раз в очень редко, и моя машинка становится участником ботнет сети.
Пока запилил вот такое:
# crontab -l
@daily killall tcpdump ; tcpdump -i sk0 src host gw.xxx.ru and dst port smtp > "/var/log/tcpdump-`date`"
И аналогичную команду запилил на почтовом сервере в лок. сети:
@daily killall tcpdump ; tcpdump -i eth1 src host mail.xxx.ru and dst port mail > "/var/log/tcpdump-`date`" > "/var/log/tcpdump-`date`"
Ну теперь надеюсь, что у меня будут посуточные логи... И я когда в очередной раз попаду в CBL (а попаду я похоже в него полюбому...), посмотрю чего там написано в плане времени про мой ip, и таким образом смогу посмотрев логи tcpdump понять, с какой машины у меня идёт спам. Или с почтовика, или действительно шлюз поломан.
Что я ещё могу сделать? Как вариант, конечно я могу поставить новый шлюз... Но не очень хочется этого делать (из-за vpn в частности...). Там openvpn 1.x стоит с кучей сертификатов.
Может быть у Вас есть идеи? Как мне пока прикрыть попу по максимуму? :)
Исходная версия DALDON, :
Вот и я про тоже... Что не всё так просто, и простыми методами я не знаю как исправить ситуацию... По этому я пришёл на форум собственно. :)
Да дело в том, что apache и всё прочее там уже нафиг не нужно давно. Сейчас там процессов то отсилы с десяток. Из нужных служб: только маршрутизирует трафик, немного фаерволит, и openvpn там крутится с mpd на пару... Ну и ещё один демон.
В общем у меня такое подозрение, что: в своё время сломали apache, подзакинули мне туда скриптов... И теперь скрипты просыпаются раз в очень редко, и моя машинка становится участником ботнет сети.
Пока запилил вот такое:
# crontab -l
@daily killall tcpdump ; tcpdump -i sk0 src host gw.xxx.ru and dst port smtp > "/var/log/tcpdump-`date`"
И аналогичную команду запилил на почтовом сервере в лок. сети:
@daily killall tcpdump ; tcpdump -i eth1 src host mail.xxx.ru and dst port mail > "/var/log/tcpdump-`date`" > "/var/log/tcpdump-`date`"
Ну теперь надеюсь, что у меня будут посуточные логи... И я когда в очередной раз попаду в CBL (а попаду я похоже в него полюбому...), посмотрю чего там написано в плане времени про мой ip, и таким образом смогу посмотрев логи tcpdump понять, с какой машины у меня идёт спам. Или с почтовика, или действительно шлюз поломан.
Что я ещё могу сделать? Как вариант, конечно я могу поставить новый шлюз... Но не очень хочется этого делать (из-за vpn в частности...). Там openvpn 1.x стоит с кучей сертификатов.
Может быть у Вас есть идеи? Как мне пока прикрыть попу по максимуму? :)