LINUX.ORG.RU
ФорумSecurity

Неожиданное увеличение траффика, что делать, помогите!!!


0

0

Здраствуйте!
Такая ситуация.Я в Linux системах новичек, но так уж получилось, что волею случая перепал мне роутер с 10 компьютерами в придачу в качестве клиентов к нему.Роутер этот поддерживает домен(bind 8-й), рассылает почту(Sendmail 8.2), позволяет ходить в интернет клиентам и также на нем висит сайт(Apache 1.3).За последние 2-3 месяца трафик возрос настолько сильно, что вместо обычного гига в месяц стало потребляться 3-4, а то и более того.
Провайдер говорит, что этот роутер стал рассылать письма с вложенными в них вирусами в больших количествах.То, что все клинтские машины не содержат вирусов и не рассылают спам я могу гарантировать на 99%, так как ежедневно они проверяются различными постоянно обновляемыми антивирусными пакетами.Остается предположить, что это делает непосредственно сам роутер.Подскажите, что мне делать,куда лезть, что смотреть.(откуда беруться и где хранятся адреса по которым уходит почта.)Вообще предпологаемые действия.Времени изучать всю топологию честно говоря нет.Надо за максимально короткое время достичь прежнего результата.Помогите пожалуйста!Спасибо.

anonymous
Firewall для контроля процессов в Linux
Поставте диагноз :-)

Я бы поступил так:

Сохранил бы настройки бинда, апача, сендмайла.

Установил бы заново дистр (не обязательно самый свежий). Накатил бы все доступные для этого дистра обновления от разработчика.

Если дистр уже больше не поддерживется, то обновил бы ядро, бинд, апач, сендмайл, ну и может еще чего... Все это или из тарболов или бинарными обновлениями из альтернативных источников.

Подставил бы старые настройки бинда, апача, сендмайла. Подкрутил бы где чего надо.

При желании это все можно сделать за ночь. Это даст примерно 90% функциональности исходного сервера (ты ведь наверняка что-нибудь забыл, упустил из виду). Остальное не торопясь можно обрабатывать напильником несколько дней.

ansky ★★★★★
()

Может у тебя открытый релей? Вот и шлют через тебя всякую гадАсть.

Xela
()

sendmail 8.2?! Ничего не напутал? Если и впрямь так, бегом апгрейдиться, sendmail 8.2 - это год 96, наверное... Если не 90.

Что касается рассылки писем - запусти tcpdump и посмотри, какой трафик уходит к провайдеру. Безусловно, это может быть открытый релей, но точно так же может выясниться, что сервер поломали (в зависимости от версии bind, там могут быть всяческие дырки) и на него установили бот, рассылающий спам. Ну и еще есть варианты... Например, кто-то из пользователей _сам_ рассылает спам. Тогда, конечно, никаких вирусов и троянских коней найдено не будет. ;)

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Для новичка просше всего всё заново поставить заодно и знать как всё работает чем в настройках и аптдейтах ковырятся . Самое главное все конфиги сохранить !

antonio-an
()
Ответ на: комментарий от antonio-an

ага! А толку сохранять конфиги, если допустим у него сендмыл сконфигрурен как открытый релей? После переустановки и накладки старых конфигов он _все_равно_ получит открытый релей.

Xela
()

Я бы посмотрел кто что слушает - netstat -ntpl, кто и куда присоединён - netstat -ntp Посмотрел кто и когда логинился - last или last -f /var/log/wtmp.1 Посмотрел исполняющиеся программы - ps axwum Посмотрел пользователей в системе - w и потом cat /etc/passwd Начал обрабатывать сервер

diavolo
()

Я бы не конфиги сохранял а тупо остановил бы сервер, переставил бы этот винт slave, воткнул бы новый master и отставил бы с нуля систему, а тот винт бы держал в read-only. Отстоял бы его в read-only скажем полгода а потом бы отформатил раз все пашет без проблем :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Firewall для контроля процессов в Linux
Security
Поставте диагноз :-)