我的 ISP 通知我,我的一台机器正在发送垃圾邮件。这件事发生在大约 3 个月前,当时运行 cygwin 的 Windows 机器因 SSH 漏洞而遭到黑客攻击。
黑客设置了 IIS 和 SMTP。我清理了机器,所有服务都已禁用,所以我认为那台机器没问题
我想知道是否还有其他方法可以识别它来自哪台机器?
ISP 没有任何有用的信息,例如源端口、目标端口、目标 IP……什么都没有。
我在路由器、Windows 7 PC 和 Windows XP PC 上运行 DD-WRT。
答案1
您可以在路由器和 LAN 之间连接一个集线器,然后将计算机插入集线器并在其上安装流量监视器,例如 Microsoft 网络监视器或 wire shark
然后你将能够监控所有发生的事情并设置过滤器等
答案2
我已经很久没有玩过 DD-WRT 了,但大多数商业级路由器都有在每次匹配防火墙规则时写入日志的功能。
我会为端口 25 创建一条防火墙规则(假设群发邮件程序使用标准 SMTP 端口),并让它在每次发生这种情况时写入包含源 IP 的日志。这样应该很容易找到罪魁祸首。
答案3
我也不确定如何在没有 netflow 或 SNMP 日志的情况下进行跟踪。但建议您只限制到邮件服务器的出站 SMTP 流量
下面假设网络 192.168.1.0/24 上的邮件服务器 IP 为 192.168.1.2
iptables -I FORWARD 1 -p tcp -s 192.168.1.2 --dport 25 -j ACCEPT
iptables -I FORWARD 2 -p tcp -s 192.168.1.1/24 --dport 25 -j REJECT
答案4
尝试一下 Wireshark —— 这是我们公司在向人们报告此类问题时建议的: