Otra opción puede ser proxy + logs de conexión (squid + sarg) que te dirá quién se conecta y qué hace en tu red, con un reporte bonito y ordenado. Luego de eso ya puedes ir tomando medidas correctivas y asesinando computadores.
El 10 de mayo de 2012 00:47, Carlos Tirado Elgueta <[email protected]>escribió: > dmz, ip diferente para el server, no relay al rango de red al mailserver, > wireshark para chequear la red y quemar en la hoguera a los culpables. > > Atte. > > El 9 de mayo de 2012 20:23, José Palacio <[email protected]> escribió: > > > Hola señores, no se si este sea tema para esta lista pero estoy > > desesperado, espero puedan ayudarme, al parecer dentro de la red de la > > empresa donde laboro hay una botnet que está enviando spam y ya estamos > en > > varias listas negras, en http://cbl.abuseat.org nos indican que tenenos > > nuestra red infectada con festi spambot. Al investigar sobre esta botnet, > > aparece que se conecta usando el puerto 80. > > > > Me gustaría identificar los equipos que estan infectados, mi idea es > buscar > > las direcciones IP de los servidores de esta botnet y verificar cuales de > > mis equipos se están conectando con esas IP y obviamente reinstalar los > > sistemas en esas máquinas, he buscado en google, pero no encuentro > > información sobre eso, les agradecería cualquier colaboración que > pudieran > > brindarme, ya que son muchisomos computadores y revisarlos uno a uno > sería > > demasiado tedioso. > > > > Si alguno tiene otra idea, es bien recibida. > > > > Gracias de antemano. > > > > > > -- > Carlos Francisco Tirado Elgueta > Google Apps Authorized Reseller > http://www.ChileMedios.com <http://www.chilemedios.com/> > Red Hat Ready Business Partner > Zimbra Partner > http://www.LinuxSupport.cl <http://www.linuxsupport.cl/> > -- Saludos *Héctor Herrera Anabalón* Egresado ICCI UNAP Soporte IT en CNN Chile Miembro USoLIX Victoria Registered User #548600 (LinuxCounter.net) +56983118902
