Am Donnerstag, den 24.09.2009, 12:09 +0200 schrieb Daniel Nitzpon: > cool, vielen dank! > machen die virenschleudern in der regel auch mehrere verbindungen auf, > oder reicht schon eine offene verbindung für großen spamversand?
Für den SPAM-Versand wird der infizierte Rechner (bzw. will man eigtl. nur dessen IP) als Proxy verwendet um Mails an offene SMTP-Relays weiter zu reichen. Weil die verwendete IP meist aus dem Bereich eines großen Providers stammt und sich dazu noch häufig ändert, lässt sich diese IPs nur erschwert sperren. Aber um deine Frage zu beantworten: Meist werden deutlich mehr als nur eine Verbindungen an Port 25 aufgebaut - bei mir hatte ich schon mehr als 200 beobachtet - was den SPAM-versendeten Rechner mehr oder weniger eindeutig verrät... Gruß Andreas > tetzlav schrieb: > > naja, mit tcpdump -ni vlan1 port 25 kannst du dir schonmal anschaun ob & > > was so los ist. Wenn du zählen willst dann hab ich grad mal Q&D paar > > Bestandteile des conntrack-Pakets in ein shellscript zusammenkopiert: > > > > # cd /usr/bin/ > > # wget http://quamquam.org/~tetzlav/freifunk/conntrack.sh > > # chmod +x conntrack.sh > > # conntrack.sh <dport> _______________________________________________ freifunk-leipzig mailing list [email protected] https://lists.subsignal.org/mailman/listinfo/freifunk-leipzig
