Re: [FUG-BR] Bloquear spam - Descobrir ip de origem - anexo o netstat

[Guilherme Alves]

ele pode estar sendo gerado por uma metaclasse dentro do seu ambiente
em alguma linguaguagem de alto nível? Mas como eu descubro isso?
 
Envio em anexo o netstat do servidor. Verifique por favor.
 
Aguardo respostas.
 
Grato!
 

-- Em dom, 18/1/09, Infoworks leo <leolim...@terra.com.br> escreveu:

De: Infoworks leo <leolim...@terra.com.br>
Assunto: Re: [FUG-BR] Bloquear spam - Descobrir ip de origem
Para: ""Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"" 
<freebsd@fug.com.br>
Data: Domingo, 18 de Janeiro de 2009, 15:21

Infoworks leo wrote:
>    Guilherme Alves wrote:
> 
> Oi Irado!
> 
> Os spams chegam para mim. Eu verifico o cabeçalho do e-mail por exemplo e
vejo i
> sso:
> 
> Received: from 77.254.30.5 by meuservidor(envelope-from
[1]<si...@abcua.com.ua>,
>  uid 82) with qmail-scanner-1.25
>      (clamdscan: 0.91.2/4015. spamassassin: 3.2.3.
> 
> 
> Aí eu acrescento este ip 77.254.30.5 no meu badmailfrom, mas continua
vindo....
> acredito que este ip neste exemplo está 'mascarado', escondendo o
ip real de ori
> gem...  O que eu preciso saber como eu consigo descobrir se é o ip real
de orige
> m ou se é um zombie?!
> 
> Grato. Boa tarde.
> 
> 
> 
> --- Em dom, 18/1/09, irado furioso com tudo [2]<ir...@safe-mail.net>
escreveu:
> 
> De: irado furioso com tudo [3]<ir...@safe-mail.net>
> Assunto: Re: [FUG-BR] Bloquear spam - Descobrir ip de origem
> Para: "Lista Brasileira de Discussão sobre FreeBSD"
[4]<freebsd@fug.com.br>
> Data: Domingo, 18 de Janeiro de 2009, 10:11
> 
> Em Sat, 17 Jan 2009 12:54:56 -0800 (PST)
> Guilherme Alves [5]<galve...@yahoo.com.br>, conhecido consumidor de
drogas
> (BigMac's com Coke) escreveu:
> 
> 
> Acontece que estao vindo muitos spams, mas eu estou adicionando os
> ip's nesta lista e o problema continua...
> 
> tá mal definido, colega. Os spams chegam para vc/seus clientes/usuarios
> OU sua máquina está sendo usada para disseminar spam?
> 
> 
> 
>    ele pode estar sendo gerado por uma metaclasse dentro do seu ambiente
>    em alguma linguaguagem de alto nível.
> 
> References
> 
>    1. mailto:si...@abcua.com.ua
>    2. mailto:ir...@safe-mail.net
>    3. mailto:ir...@safe-mail.net
>    4. mailto:freebsd@fug.com.br
>    5. mailto:galve...@yahoo.com.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 
cara isso deve estar rodando no servidor de email ou num slave
dele...dentro de sua propria rede até teu localhost... rastreia isso
acho que vc pode começar com -vatn no netstat ... se eu tivesse acesso a
um terminal na máquina com alguns privilégio dava pra tentar mas isso
pode levar tempo... ainda estou pesquisando um monte de coisa aqui pois
estou pensando em participar de um projeto da comunidade do gentoo. seja
linux ou bsd.
e homestrutura similar mas uso outras distros...
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



      Veja quais são os assuntos do momento no Yahoo! +Buscados
http://br.maisbuscados.yahoo.com
[root ~] # netstat
Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0  11212  meuip-a.http           200-100-236-99.d.1434  ESTABLISHED
tcp4       0      0  meuip-a.http           200-100-236-99.d.1427  TIME_WAIT
tcp4       0      0  meuip-a.http           200-100-236-99.d.1426  TIME_WAIT
tcp4       0  32046  meuip-a.http           200-100-12-214.d.2294  ESTABLISHED
tcp4       0  32860  meuip-a.http           200-100-236-99.d.1409  ESTABLISHED
tcp4       0      0  meuip-a.http           200-100-236-99.d.1402  TIME_WAIT
tcp4       0  32860  meuip-a.http           200-100-236-99.d.1381  ESTABLISHED
tcp4       0    473  meuip-a.http           200-100-236-99.d.1378  FIN_WAIT_1
tcp4       0  32860  meuip-a.http           200-100-236-99.d.1375  ESTABLISHED
tcp4       0    473  meuip-a.http           200-100-236-99.d.1373  FIN_WAIT_1
tcp4       0    473  meuip-a.http           200-100-236-99.d.1372  FIN_WAIT_1
tcp4       0  14955  meuip-a.http           200-100-236-99.d.1368  FIN_WAIT_1
tcp4       0  12916  meuip-a.http           200-100-236-99.d.1367  FIN_WAIT_1
tcp4       0  31800  meuip-a.http           200-100-236-99.d.1366  ESTABLISHED
tcp4       0  31800  meuip-a.http           200-100-236-99.d.1364  ESTABLISHED
tcp4       0  31800  meuip-a.http           200-100-236-99.d.1363  ESTABLISHED
tcp4       0     52  meuip-a.3443           189-68-84-175.ds.50882 ESTABLISHED
tcp4       0      0  207.46.20.252.http     192.168.0.20.3522      FIN_WAIT_2
udp4       0      0  localhost.domain       *.*
udp4       0      0  meudominio.domain          *.*
udp4       0      0  meuip-a.domai *.*
Active UNIX domain sockets


Este ip 200-100-236-99 nao seria algum usuario navegando no meu site?
Só estranhei este: 207.46.20.252

Tem algo de errado aqui?
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd