Virus někde v síti

Technicky vzato by jsi to měl vidět v logu toho Debianu

Zkusím tam hodit nějaký program na vyhodnocení mailového logu a uvidíme. Ještě se ozvu jak to vypadá

Jak to, ze niesi schopny obejit vsechny PC ?To rovno hovoris, ze si neschopny to vyriesit.Mailovy server moze bezat, ovsem ak ma niektory klient nastavene ine odosielacie mailove servery, tak to v logu nenajdes.

Jsem schopný dostat se na router, ale nejsem, nebo spíš nechci, obcházet všechny PC z důvodu, že internet jde i do kanceláří nájemců a tak nějak je mi blbý jim dělat antivirové testy na jejich PC. Asi to v krajním případě je možnost, ale tak nějak bych ji dal až na poslední místo.

Všechny TP-LINKy (i ty nejlevnější) monitorují a zapisují síťový provoz, ale ty záznamy nejsou moc podrobné, nicméně něco by se z nich asi vyčíst dalo

OK. Zkusím najít, případně zapnout. Něco tam myslím je. Díky a napíšu co jsem zjistil.

Zjisti ten typ tp-linku, stačí přece dát do prohlížeče adresu brány a přihlásit se...Jinak bys měl mít nástroj na monitorování síťového provozu a switch s port mirroringem.

Jasný, že to není problém, ale problém je, že nejsem u routeru Takže typ až ráno.

Maji pocitace zarizly pristup na SMTP v Internetu (krom interniho mailoveho serveru)? Je na mailserveru zakazany relaying (samozrejme s vyjimkou autentikovanych uzivatelu a pod.)?Jinak klasika - na Debianu nainstaluj NMAP, prislusny port switche nastav do promiskuitniho/mirror ... (nazvoslovi se ruzni) modu a sniffuj.MP

Zrejme nie na Debianu, ale na brane do Internetu. Pokial nieje taka moznost, tak tesne pred, alebo za branou.

Pardon, za branou by to nemalo nejaky velky zmysel, takze len pred branou.Normalne sa to robi tak, ze sa rozboci linka pomocou "hubu", pichne sa do toho kabel, ktory prichadza do brany + kabel iduci na monitorovaci pocitac + kabel iduci na branu.

Úplně jsi přehlídl poznámku o port mirroringu.Hub se už právě používá velmi zřídka.

Pokud je pouzit levny (nemanageovatelny) switch ktery neumi mirroring je casto nejjednodussi najit zapomenuty 100Mb HUB. Takze obe moznosti jsou realne.MP

Neprehliadol. Len predpokladam, ze ked tam maju TP-Link, tak zrejme nebudu mat managovatelny switch, ktory stoji 20x viac, ako ten TP-Link.

Nepřeháněj.24-portový gigový switch s port mirroringem stojí cca 4.000,- Kč

Nejsem si tedy úplně jistý, ale na části sítě, která jde k nájemcům je trochu lepší switch a ten bych řekl port mirroring umí. Musím to ale zítra ověřit, nejsem si stoprocentně jistý.Řešení tedy asi je projít všechny PC co můžu a udělat na nich antivirový test a prohlédnout server, jestli nespamuje ten, ano? Ale nějak moc nerozumím co s tím port mirroringem. Můžete mi to nějak lajcky osvětlit? Děkuji

Port mirroring znamená, že switch kopíruje/zrcadlí provoz vybraných portů na určený port. Na určeném portu pak máš počítač, který má nainstalovaný sw nástroj typu network monitor, který monitoruje a analyzuje veškerý provoz na tom určeném portu.V praxi pak stačí, když jeden port (kterým je switch připojen k routeru) mirroruješ na port, kde máš monitorující PC a máš přehled o veškerém provozu, který jde do/z inetu.Já mám oblíbený Kerio Network Monitor 1.0, ale ten už se nedá sehnat, takže je to rada na houby. Ale takový PRTG Network Monitor by tě mohl zajímat i ve free/trial verzi http://www.paessler.com/prtg

Reseni neni projit vsechna PC, jedine normalni reseni je identifikovat provoz na switchi nebo jeste lepe na gateway (kterou z me nepochopitelneho duvodu nemate), puvodce provozu zariznout a zajistit, aby se to nedelo. Pokud najdes temer libovolne Pc se dvema sitovkama, nainstaluj si Endian nebo podobnou distribuci, udelej z neho gateway a mas reseni za par minut bez obihani cehokoli nebo laborovani se switchem.

23: Občané mají právo postavit se na odpor... (LZPS)

Šel by používat mOnO wall ( http://m0n0.ch/wall/ )? Ten mám na jednom PC dokonce naistalovaný a klidně bych ho mohl nasadit prakticky hned jako router (možná by byla potřeba aktualizace apod., ale to by nebylo asi zas tak časově náročný).Nainstaloval jsem na server takové příjemné statistiky (měl jsem je už na minulém serveru, tak jsem je dal i sem) a zdá se mi, že možná něco ze serveru chodí ( http://212.96.185.188/cgi-bin/mailgraph.cgi ). Ale je tam pohyb 3000 e-mailů za den a to mi nepřipadá zas tolik aby to bylo na blacklist. Nebo co vy myslíte?Asi tedy projet všechny PC antivirem že?

Mam odlaborovane, ze 3000 emailov za den nevygeneruje ani firma so 100 PC pokial povaha cinnosti nieje zamerana na Internet. Ak nemas hub, tak sa da pouzit iny router cez ktory pojde kompletna komunikacia von z firmy a umoznuje sledovat prevadzku. Naozaj to konci tym, ze sa robi zasah u uzivatela. Ono to mozno na hotline nevedia, ale niekto to urobit musi. Ak myslis, ze staci zavolat (identifikovanemu) uzivatelovi, nech si to chekne a opravi sam, tak mas o problem menej.

No tak bohužel to si myslí náš provider, že stačí zavolat Můžete mi poradit nějaký takový router? Už jsem sice identifikoval, že je to posílané ze serveru, ale i tak bych do budoucna docela rád hned věděl, kde je problém.Díky

Pre rychle zistenie problemu ti uz poradili tam pichnut obycajny pocitac nastaveny ako router. Pre buducnost si priprav specialny monitorovaci pocitac do ktoreho nasmerujes firemnu prevazdku bud odbocenim pomocou hubu, alebo skopirovanim portov na switchi. Druha moznost je narocnejsia, pretoze tam ide kompletny vnutrofiremny traffic velkej sirky prenosoveho pasma. Ako tak citam nizsie, tak je dost pravdepodobne, ze budes mat napadnuty web server. Je to len domnienka hodna preverenia.

"Druha moznost je narocnejsia, pretoze tam ide kompletny vnutrofiremny traffic"Tak se to nedělá.Zrcadlí se pouze port, kterým je switch připojen k routru, čili je tam veškerý provoz internetu a ne vnitrofiremní provoz.Naopak, tato druhá možnost mi přijde jednodušší, vyžaduje "jen" switch s web konzolou, to jsou ty nejjednodušší řiditelné switche.

Maji pocitace zarizly pristup na SMTP v Internetu (krom interniho mailoveho serveru)?Samozřejmě že ne. Nejsou tam jen uživatelé používající interní server, ale i ostatní, kteří používají jiné poskytovatele.Je na mailserveru zakazany relaying (samozrejme s vyjimkou autentikovanych uzivatelu a pod.)?Mělo by být. Doufám. Můžete mi kdyžtak poradit jak to ověřit? Díky

Zkuste na tom poštovním serveru zadat příkaz:postqueue -Lpokud tam máte nainstalovaný postfix, vypíše to maily ve frontě určené k odchodustalo se nám to taky, byly jich tam tisíce, kdy nám někdo napadl dvě mailové adresy, pomocí toho je možno zjistit, které to jsou, a jim změňte heslapak samozřejmě log toho poštovního serveru, kde je uvedeno, z kterých mailových adres tyto zprávy odchází

Aha. Takže když se podívám do mailové fronty tak je to vše z www-data a je toho tam spousta. Webovkám ale heslo nezměním ne? A ani nepoznám ze které stránky to je ne?

Takže jsem teda tu frontu smazal. Bylo tam asi 1500 e-mailů.