Re: spam black list
2015.03.29. 13:47 keltezéssel, k...@mayten.sch.bme.hu írta: Ha a forgalom lokalisan generalt akkor a FORWARD lanc nem kerul kiertekelesre. Valamiert a kerdezo a forward lancba akart szabalyt tenni, nem tudjuk miert, nincs informacionk rola. Ezt hibasan akarta, erre irtam meg a helyes szintaxist, Valóban megírtad, hogy szintaktikilag hibás. de tovabbra sem tudjuk, hogy a csomag, amit szurni szeretne, egyatalan athalad-e a lancon. Ennyi infót kaptam levélben, ez alapján tudnátok segíteni? Ez volt a szálindító levélben. Köszönöm szépen mindenkinek aki segíteni próbált, Szentirmay Sándor tippje volt a megoldás, fertőzött PHP, a Chat modulját törték meg. -- Üdv, Nágel István http://fonixnet.hu ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
On 03/29/2015 12:34, Horváth Péter wrote: Ezt én nem értem túl filozófikus:) talan ez kevesbe filozofikus es konkretabb. Ha a forgalom lokalisan generalt akkor a FORWARD lanc nem kerul kiertekelesre. Valamiert a kerdezo a forward lancba akart szabalyt tenni, nem tudjuk miert, nincs informacionk rola. Ezt hibasan akarta, erre irtam meg a helyes szintaxist, de tovabbra sem tudjuk, hogy a csomag, amit szurni szeretne, egyatalan athalad-e a lancon. Ezert nem valaszoltam arra a kerdesre, hogy a FORWARD lancba illesztett szabaly megoldja-e a problemajat - mert nem tudjuk. A szabaly ott lesz, de lehet, hogy a relevans forgalmat nem szuri ki. Hogy lehet valami lokalisan generalt? Peldaul, ahogy valaki mar irta elottem: peldaul egy php vagy web szerver sebezhetoseget kihasznalva olyan alkalmazas fut a gepen ami maga kuld leveleket/spameket. Ezermillio ilyen lehetoseg van. Ennek megitelesehez nincs elegendo informacio, csupan egy postfix log ami onmagaban ertekelhetetlen. De meg ahhoz sincs elegendo informacio, hogy tudni lehessen: egy geprol van szo, vagy egy geprol amely tobb masiknak biztosit kijaratot az internet fele. udv adam ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
2015.03.28. 11:10 keltezéssel, k...@mayten.sch.bme.hu írta: On 03/28/2015 09:57, Istvan Nagel wrote: Remélem így már jó lesz: iptables -A FORWARD -o $EXTERNAL_IF -p tcp --dport 25 -j DROP valamire biztosan. ugyanakkor felmerult nehany kerdes/eszrevetel, amire nem valaszoltal, igy aztan az, hogy a fenti segiteni fog-e rajtad, nem ismert. miutan az informacio koztudottan annal jobban modosul, minel tobb csomoponton halad at, valamint az eredeti problema nem ismert (bocs, de en nem fogok ket napnyi postfix logot soronkent atnyalazni) igy ketseges, hogy a fenti sornak van-e ertelme egyatalan. ha igaza van annak, aki felvetette, hogy hostingolt gep nem szokott atjaro lenni masoknak (szokott, de a felvetes valid), akkor az is igaz, hogy a fenti sor ha nem _halozati ertelemben_ vett athalado forgalom, akkor nem segit semmit. Ezt én nem értem túl filozófikus:) Ettől függetlenül alap igazság hogy a kliens gépeknek nem szabad engedni, hogy direktben forgalmazzanak a 25-s cél portra. Internet szolgáltatók is tiltják a kimenő forgalmat a 25-s porton. Levelet küldeni mindig csak az adott szolgáltató SMTP szerverén keresztül lehet. Sok nemkívánatos program van, ami spam küldésre használja a megfertőzött gépet. Így a fertőzött gépek folyton besározzák a publikus IP címet, amin keresztül kijutnak a net -re. Vagyis amíg ez nincs megakadályozva addig felesleges túrni a postfix logokat. Már csak azért sem, mert így sokkal több támadási kísérletnek van kitéve minden szolgáltatás ami ezen a publikus címen elérhető. Ez pl nálam azt mondja, hogy a kliens PC -k nem mehetnek direktben a NET-re a 80,8080,3128,25 portokon, ha a kimenő interface az eth1 (wan kapcsolat): -A FORWARD -p tcp -m tcp -m multiport -o eth1 -j REJECT --dports 80,8080,3128,25 ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
2015.03.27. 17:14 keltezéssel, Istvan Nagel írta: Tisztelt Listatagok! Ennyi infót kaptam levélben, ez alapján tudnátok segíteni? Ubuntu alapú szerver, postfix A probléma az, hogy mindig spam black listára kerül az IP-m, pedig szerintem nem küld ki a szerver SPAM-et. Azt látom, hogy folyamatosan az oroszok támadják a szervert. Az IP: 94.199.180.56 hozzátartozó host: april.inflexstudio.com Itt van egy mail log fájl, amiben vannak furcsa dolgok számomra: http://inflexstudio.com/mail323232.log Ha ez a szerver egy internet átjáró is egyben, akkor a tűzfalban kellene tiltani hogy a mögötte levő gépek ne tudjanak a 25 -ös porton kimenni. Lehet hogy nem a postfix küldi a spam-eket, hanem a belső hálóban levő kliens gépek. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
Sajnos nem tudom, mert webmin-el szoktam csinálni :( 2015.03.28. 10:12 keltezéssel, Istvan Nagel írta: Így jó lesz szerinted? iptables -A FORWARD -o 94.199.180.56 -p tcp --dport 25 -j DROP 2015.03.28. 9:42 keltezéssel, Horváth Péter írta: Ha ez a szerver egy internet átjáró is egyben, akkor a tűzfalban kellene tiltani hogy a mögötte levő gépek ne tudjanak a 25 -ös porton kimenni. Lehet hogy nem a postfix küldi a spam-eket, hanem a belső hálóban levő kliens gépek. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
On 03/28/2015 09:57, Istvan Nagel wrote: Remélem így már jó lesz: iptables -A FORWARD -o $EXTERNAL_IF -p tcp --dport 25 -j DROP valamire biztosan. ugyanakkor felmerult nehany kerdes/eszrevetel, amire nem valaszoltal, igy aztan az, hogy a fenti segiteni fog-e rajtad, nem ismert. miutan az informacio koztudottan annal jobban modosul, minel tobb csomoponton halad at, valamint az eredeti problema nem ismert (bocs, de en nem fogok ket napnyi postfix logot soronkent atnyalazni) igy ketseges, hogy a fenti sornak van-e ertelme egyatalan. ha igaza van annak, aki felvetette, hogy hostingolt gep nem szokott atjaro lenni masoknak (szokott, de a felvetes valid), akkor az is igaz, hogy a fenti sor ha nem _halozati ertelemben_ vett athalado forgalom, akkor nem segit semmit. kicsit ahhoz tudnam hasonlitani, mint amikor elmesz az autoszerelohoz, hogy uram, megallt a kocsim menet kozben, van itt a kozelben benzinkut, szerintem kifogyott az uzemanyag. es ketsegesen megmutatja hol a benzinkut, hagyja, hogy elmenj tankolni, majd tele tankkal dobbenj ra, hogy amugy elszakadt az ekszij. az autoszerelo minden, a rendelkezesere allo informacio birtokaban segitokesz volt. es megsem segitett semmit. en viszont nem leszek autoszerelo. udv adam ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
Köszönöm szépen,továbbítom. 2015.03.28. 9:31 keltezéssel, Szentirmay Sandor írta: Keresse meg a maillogban az összes levelet, amit a google visszadobott a szokásos Our system has detected ... üzenettel (pl rákeresni a 550-5.7.1 stringre). Aztán ezeket a leveleket egyesével nézze meg, hogy hogyan kerültek be a levelezőrendszerébe. Talán még a mailq-ban is ül néhány, azokba postcat-tal bele lehet olvasni. Tipp: valamelyik php-s oldalát használták. On 2015.03.27. 17:14, Istvan Nagel wrote: Tisztelt Listatagok! Ennyi infót kaptam levélben, ez alapján tudnátok segíteni? Ubuntu alapú szerver, postfix A probléma az, hogy mindig spam black listára kerül az IP-m, pedig szerintem nem küld ki a szerver SPAM-et. Azt látom, hogy folyamatosan az oroszok támadják a szervert. -- Üdv, Nágel István http://fonixnet.hu ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
A google erre is jó :) Keresse meg a maillogban az összes levelet, amit a google visszadobott a szokásos Our system has detected ... üzenettel (pl rákeresni a 550-5.7.1 stringre). Aztán ezeket a leveleket egyesével nézze meg, hogy hogyan kerültek be a levelezőrendszerébe. Talán még a mailq-ban is ül néhány, azokba postcat-tal bele lehet olvasni. Tipp: valamelyik php-s oldalát használták. On 2015.03.27. 17:14, Istvan Nagel wrote: Tisztelt Listatagok! Ennyi infót kaptam levélben, ez alapján tudnátok segíteni? Ubuntu alapú szerver, postfix A probléma az, hogy mindig spam black listára kerül az IP-m, pedig szerintem nem küld ki a szerver SPAM-et. Azt látom, hogy folyamatosan az oroszok támadják a szervert. Az IP: 94.199.180.56 hozzátartozó host: april.inflexstudio.com Itt van egy mail log fájl, amiben vannak furcsa dolgok számomra: http://inflexstudio.com/mail323232.log -- シャーンドル ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
Így jó lesz szerinted? iptables -A FORWARD -o 94.199.180.56 -p tcp --dport 25 -j DROP 2015.03.28. 9:42 keltezéssel, Horváth Péter írta: Ha ez a szerver egy internet átjáró is egyben, akkor a tűzfalban kellene tiltani hogy a mögötte levő gépek ne tudjanak a 25 -ös porton kimenni. Lehet hogy nem a postfix küldi a spam-eket, hanem a belső hálóban levő kliens gépek. -- Üdv, Nágel István http://fonixnet.hu ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
2015.03.28. 10:38 keltezéssel, k...@mayten.sch.bme.hu írta: On 03/28/2015 09:12, Istvan Nagel wrote: Így jó lesz szerinted? iptables -A FORWARD -o $EXTERNAL_IF -p tcp --dport 25 -j DROP ez egy szintaktikai hibas parancs, a -o kimeno interfeszt jelol, nem ip cimet. Köszönöm! Remélem így már jó lesz: iptables -A FORWARD -o $EXTERNAL_IF -p tcp --dport 25 -j DROP -- Üdv, Nágel István http://fonixnet.hu ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
Egy hostingban lévő gép a legritkább esetben átjáró más gépeknek. On 2015.03.28. 10:12, Istvan Nagel wrote: Így jó lesz szerinted? iptables -A FORWARD -o 94.199.180.56 -p tcp --dport 25 -j DROP 2015.03.28. 9:42 keltezéssel, Horváth Péter írta: Ha ez a szerver egy internet átjáró is egyben, akkor a tűzfalban kellene tiltani hogy a mögötte levő gépek ne tudjanak a 25 -ös porton kimenni. Lehet hogy nem a postfix küldi a spam-eket, hanem a belső hálóban levő kliens gépek. -- シャーンドル ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: spam black list
On 03/28/2015 09:12, Istvan Nagel wrote: Így jó lesz szerinted? iptables -A FORWARD -o 94.199.180.56 -p tcp --dport 25 -j DROP ez egy szintaktikai hibas parancs, a -o kimeno interfeszt jelol, nem ip cimet. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
spam black list
Tisztelt Listatagok! Ennyi infót kaptam levélben, ez alapján tudnátok segíteni? Ubuntu alapú szerver, postfix A probléma az, hogy mindig spam black listára kerül az IP-m, pedig szerintem nem küld ki a szerver SPAM-et. Azt látom, hogy folyamatosan az oroszok támadják a szervert. Az IP: 94.199.180.56 hozzátartozó host: april.inflexstudio.com Itt van egy mail log fájl, amiben vannak furcsa dolgok számomra: http://inflexstudio.com/mail323232.log -- Üdv, Nágel István http://fonixnet.hu ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/