История изменений
Исправление DALDON, (текущая версия) :
Ок! Спасибо! Ну пока я половить решил всё же tcpdumpом. Я думаю в целом разница не принципиальна. Понятное дело, что настроив корректно pf на шлюзе я смогу тогда ловить трафик и записывать его в лог (сразу как трафик с почтового сервера с внтуренним ip, так и трафик уже сгенерированный на внешнем ip). Пока ограничусь tcpdump.
Вот чего у меня примерно вышло:
Вот такое добавил в крон на раз в сутки:
@daily killall tcpdump ; tcpdump -i eth1 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and src host mail.xxx.ru and dst port mail' > «/var/log/tcpdump-`date`»
Ну а потом можно вот так:
root@mail:~# less /var/log/tcpdump-Пн.\ июня\ 16\ 15\:49\:20\ MSK\ 2014 |grep -w "[S]"
15:51:04.206663 IP mail.xxx.ru.56074 > mx.yandex.ru.smtp: Flags [S], seq 1237946009, win 14600, options [mss 1460,sackOK,TS val 1643555758 ecr 0,nop,wscale 7], length 0
15:51:10.393721 IP mail.xxx.ru.49968 > mxs.mail.ru.smtp: Flags [S], seq 1791546069, win 14600, options [mss 1460,sackOK,TS val 1643557305 ecr 0,nop,wscale 7], length 0
...
И плюс можно подсчитать кол-во строк!
Например так:
# less /var/log/tcpdump-Пн.\ июня\ 16\ 15\:49\:20\ MSK\ 2014 |grep -w "[S]" -c
35
Взяв логи за сутки и сделав такой подсчёт, можно будет увидеть разницу между SYN соединениями со шлюза на FreeBSD, и с сервера почты в лок. сети. - Если будет разница - значит шлюз явно заражён. Если не будет разницы, а будут просто очень большие цифры - стало быть почтовик таки рассылает спам, и возможно в логах postfix это не отражается... Быть может там левая какая-то программа появилась, и мой linux почтовик взломан. Или какая-то машина заражённая в локалке пользуется тем, что у меня локалка пропеисанная в доверенные хосты, и использует меня как relay... - Блин, надо бы убрать тоже локалку из доверенных, старое наследие приходится сопровождать.
Как считаете, не налажал нигде я? По 587 порту по идее не должна же почта ходить? Оно же только для авторизованного submission...
Исходная версия DALDON, :
Ок! Спасибо! Ну пока я половить решил всё же tcpdumpом. Я думаю в целом разница не принципиальна. Понятное дело, что настроив корректно pf на шлюзе я смогу тогда ловить трафик и записывать его в лог (сразу как трафик с почтового сервера с внтуренним ip, так и трафик уже сгенерированный на внешнем ip). Пока ограничусь tcpdump.
Вот чего у меня примерно вышло:
Вот такое добавил в крон на раз в сутки:
@daily killall tcpdump ; tcpdump -i eth1 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and src host mail.xxx.ru and dst port mail' > «/var/log/tcpdump-`date`»
Ну а потом можно вот так:
root@mail:~# less /var/log/tcpdump-Пн.\ июня\ 16\ 15\:49\:20\ MSK\ 2014 |grep -w "[S]"
15:51:04.206663 IP mail.xxx.ru.56074 > mx.yandex.ru.smtp: Flags [S], seq 1237946009, win 14600, options [mss 1460,sackOK,TS val 1643555758 ecr 0,nop,wscale 7], length 0
15:51:10.393721 IP mail.xxx.ru.49968 > mxs.mail.ru.smtp: Flags [S], seq 1791546069, win 14600, options [mss 1460,sackOK,TS val 1643557305 ecr 0,nop,wscale 7], length 0
15:51:57.012757 IP mail.xxx.ru.51626 > mx.yandex.ru.smtp: Flags [S], seq 3303255103, win 14600, options [mss 1460,sackOK,TS val 1643568960 ecr 0,nop,wscale 7], length 0
15:53:05.349863 IP mail.xxx.ru.49995 > mxs.mail.ru.smtp: Flags [S], seq 4051807349, win 14600, options [mss 1460,sackOK,TS val 1643586044 ecr 0,nop,wscale 7], length 0
15:53:18.076985 IP mail.xxx.ru.60739 > mxf2.rambler.ru.smtp: Flags [S], seq 3597638181, win 14600, options [mss 1460,sackOK,TS val 1643589226 ecr 0,nop,wscale 7], length 0
15:58:24.250658 IP mail.xxx.ru.48270 > mail.senegskaya.ru.smtp: Flags [S], seq 1659206585, win 14600, options [mss 1460,sackOK,TS val 1643665769 ecr 0,nop,wscale 7], length 0
15:58:41.068578 IP mail.xxx.ru.48284 > mail.senegskaya.ru.smtp: Flags [S], seq 3915915485, win 14600, options [mss 1460,sackOK,TS val 1643669974 ecr 0,nop,wscale 7], length 0
16:00:00.015856 IP mail.xxx.ru.33194 > mx18.aha.ru.smtp: Flags [S], seq 2927498226, win 14600, options [mss 1460,sackOK,TS val 1643689710 ecr 0,nop,wscale 7], length 0
16:00:06.929667 IP mail.xxx.ru.34702 > mail222.jh-group.net.smtp: Flags [S], seq 2841721888, win 14600, options [mss 1460,sackOK,TS val 1643691439 ecr 0,nop,wscale 7], length 0
16:00:07.618448 IP mail.xxx.ru.37907 > mail111.jh-group.net.smtp: Flags [S], seq 1077826190, win 14600, options [mss 1460,sackOK,TS val 1643691611 ecr 0,nop,wscale 7], length 0
16:01:51.793833 IP mail.xxx.ru.35652 > mailgate3.baltika.ru.smtp: Flags [S], seq 807152468, win 14600, options [mss 1460,sackOK,TS val 1643717655 ecr 0,nop,wscale 7], length 0
16:01:51.892735 IP mail.xxx.ru.56296 > mx.yandex.ru.smtp: Flags [S], seq 1058580090, win 14600, options [mss 1460,sackOK,TS val 1643717680 ecr 0,nop,wscale 7], length 0
16:02:33.739656 IP mail.xxx.ru.49127 > MX02.NICMAIL.ru.smtp: Flags [S], seq 1645230242, win 14600, options [mss 1460,sackOK,TS val 1643728141 ecr 0,nop,wscale 7], length 0
16:02:33.786337 IP mail.xxx.ru.34781 > MX01.NICMAIL.ru.smtp: Flags [S], seq 1619126579, win 14600, options [mss 1460,sackOK,TS val 1643728153 ecr 0,nop,wscale 7], length 0
16:06:23.511299 IP mail.xxx.ru.50260 > mxs.mail.ru.smtp: Flags [S], seq 386908206, win 14600, options [mss 1460,sackOK,TS val 1643785584 ecr 0,nop,wscale 7], length 0
16:08:04.109352 IP mail.xxx.ru.54543 > gw-office.nemiroff.ru.smtp: Flags [S], seq 2690399261, win 14600, options [mss 1460,sackOK,TS val 1643810734 ecr 0,nop,wscale 7], length 0
16:09:32.563492 IP mail.xxx.ru.32773 > mail.atomexp.ru.smtp: Flags [S], seq 1191810438, win 14600, options [mss 1460,sackOK,TS val 1643832847 ecr 0,nop,wscale 7], length 0
16:09:33.579712 IP mail.xxx.ru.34902 > mail222.jh-group.net.smtp: Flags [S], seq 2537059148, win 14600, options [mss 1460,sackOK,TS val 1643833101 ecr 0,nop,wscale 7], length 0
16:10:20.009667 IP mail.xxx.ru.43037 > mail30.serconsrus.com.smtp: Flags [S], seq 2234303388, win 14600, options [mss 1460,sackOK,TS val 1643844709 ecr 0,nop,wscale 7], length 0
16:11:05.715410 IP mail.xxx.ru.35880 > mailgate3.baltika.ru.smtp: Flags [S], seq 1285782424, win 14600, options [mss 1460,sackOK,TS val 1643856135 ecr 0,nop,wscale 7], length 0
16:11:15.353020 IP mail.xxx.ru.35891 > mailgate3.baltika.ru.smtp: Flags [S], seq 2797392764, win 14600, options [mss 1460,sackOK,TS val 1643858545 ecr 0,nop,wscale 7], length 0
16:12:10.975846 IP mail.xxx.ru.50448 > mxs.mail.ru.smtp: Flags [S], seq 804505761, win 14600, options [mss 1460,sackOK,TS val 1643872450 ecr 0,nop,wscale 7], length 0
16:12:17.985601 IP mail.xxx.ru.53154 > m1.ingos.ru.smtp: Flags [S], seq 3671224831, win 14600, options [mss 1460,sackOK,TS val 1643874203 ecr 0,nop,wscale 7], length 0
И плюс можно подсчитать кол-во строк!
Например так:
# less /var/log/tcpdump-Пн.\ июня\ 16\ 15\:49\:20\ MSK\ 2014 |grep -w "[S]" -c
35
Взяв логи за сутки и сделав такой подсчёт, можно будет увидеть разницу между SYN соединениями со шлюза на FreeBSD, и с сервера почты в лок. сети. - Если будет разница - значит шлюз явно заражён. Если не будет разницы, а будут просто очень большие цифры - стало быть почтовик таки рассылает спам, и возможно в логах postfix это не отражается... Быть может там левая какая-то программа появилась, и мой linux почтовик взломан. Или какая-то машина заражённая в локалке пользуется тем, что у меня локалка пропеисанная в доверенные хосты, и использует меня как relay... - Блин, надо бы убрать тоже локалку из доверенных, старое наследие приходится сопровождать.
Как считаете, не налажал нигде я? По 587 порту по идее не должна же почта ходить? Оно же только для авторизованного submission...