Sziasztok! Köszönöm a javaslatokat, hétfőn nekiugrok. Üdv. Pál
2014.11.28. 13:47 keltezéssel, Farkas Gábor írta:
Használsz esetleg e-mail kliens programot (pl outlook), amelynek be van állítva "megtámadott" smtp szerver, hogy azt használja levélküldésre? Ha igen, akkor ne tiltsd az smtp protokollt. (Bocs.) Viszont ezekkel a gépekkel kezdeném a víruskeresést. FG -----Original Message----- From: techinfo-boun...@lista.sulinet.hu [mailto:techinfo-boun...@lista.sulinet.hu] On Behalf Of Farkas Gábor Sent: Friday, November 28, 2014 1:39 PM To: Techinfo Subject: RE: Abuse report about 195.199.197.142 - Mi a teendőm? Az adott IP címről van forgalmad kifelé bármilyen módon? Ha igen, akkor valószínűleg az egyik géped (szerver?, kliens?) vagy vírusos és/vagy feltörték. Tiltsd az átjáródón/tűzfaladon a 25-ös portot vagy az smtp protokollt, utána próbáld leszűkíteni, hogy melyik gép lehet a ludas és keress vírust. Esetleg nézd meg, hogy van-e olyan fiókod bárhol, amihez nincs jelszó beállítva. FG -----Original Message----- From: techinfo-boun...@lista.sulinet.hu [mailto:techinfo-boun...@lista.sulinet.hu] On Behalf Of Horváth Pál Sent: Friday, November 28, 2014 12:32 PM To: 'Techinfo' Subject: Abuse report about 195.199.197.142 - Mi a teendőm? Sziasztok! A NIIF CSIRT-től kaptam egy figyelmeztetést: --------------------------------- A 195.199.197.142 IP címért a belső adatbázisunk szerint Önök a felelősök. Kérem, hogy sürgősen vizsgálják meg a tárgyban említett IP című gépet. A lenti bejelentés érkezett hozzánk és elsősorban ezt kellene ellenőrizni. Reported-From: abuse-t...@blocklist.de Category: abuse Report-Type: login-attack Service: sasl Version: 0.2 User-Agent: Fail2BanFeedBackScript blocklist.de V0.2 Date: Mon, 24 Nov 2014 12:22:32 +0100 Source-Type: ip-address Source: 195.199.197.142 Port: 25 Report-ID: 611574...@blocklist.de Schema-URL: http://www.x-arf.org/schema/abuse_login-attack_0.1.2.json Attachment: text/plain Nov 24 12:22:32 h2156042 postfix/smtpd[14675]: connect from gw.gardonyi-sopron.sulinet.hu[195.199.197.142] Nov 24 12:22:32 h2156042 postfix/smtpd[14675]: warning: gw.gardonyi-sopron.sulinet.hu[195.199.197.142]: SASL LOGIN authentication failed: authentication failure Nov 24 12:22:32 h2156042 postfix/smtpd[14675]: lost connection after AUTH from gw.gardonyi-sopron.sulinet.hu[195.199.197.142] Nov 24 12:22:32 h2156042 postfix/smtpd[14675]: disconnect from gw.gardonyi-sopron.sulinet.hu[195.199.197.142] Ezen az oldalon látszik, hogy mikor történt az esemény: https://www.blocklist.de/en/logs.html?rid=611574846&ip=195.199.197.142&show=1417166852 Az kellene megnézni, hogy November 24-én 12:22:32-kor történt-e SPAM küldés a 195.199.197.142 gép esetén. Lehet, hogy feltörték valamelyik postafiókotokat. --------------------------------- A publikus szegmensen a routeren nincs semmilyen gép. Nem üzemeltetek levelezőszervert és webszervert sem. Ez az irány tehát kizárva. Használunk sulinetes e-mail címeket is. Az admin felületen találtam egy ismeretlen felhasználót, akinek csak e-mail címe van, de se törölni se szerkeszteni nem tudom. Van itt összefüggés a fenti problémával vagy teljesen más a probléma? Köszönettel: Horváth Pál _______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ _______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ _______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
