Автор Тема: Альфа канал и РА-Игра представляют.... VirSMTP сервер  (Прочитано 1290 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Sashka

  • ***
  • Сообщений: 5781
    • Просмотр профиля
#0: 24 Июля 2004, 16:44:23
сижу мля на работе и вижу... мля... достало, каждый день мля одно и тоже...

Sat 2004-07-24 14:53:45: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:53:49: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:54:15: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:54:16: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:58:16: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:58:17: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:58:23: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:58:24: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:58:25: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:58:29: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:59:09: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 14:59:14: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 15:00:04: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 15:00:07: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 15:01:43: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 15:01:45: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 15:02:05: Connection 195.161.155.35 refused by IP Screen
Sat 2004-07-24 15:02:05: Connection 195.161.155.35 refused by IP Screen

вот лог обработки одно из подключений

Mon 2004-07-19 11:26:55: AntiVirus processing 50000112308.msg...
Mon 2004-07-19 11:26:55:   Message return-path: spn@spn.ru
Mon 2004-07-19 11:26:55:   Message from: spn@spn.ru
Mon 2004-07-19 11:26:55:   Message subject: Mail Delivery (failure)
Mon 2004-07-19 11:26:55:   Message ID:
Mon 2004-07-19 11:26:55: Start AntiVirus results
Mon 2004-07-19 11:26:55: * cf2990918018.txt is infected by Exploit.IFrame.FileDownload
Mon 2004-07-19 11:26:55: * cf2990918018.txt was removed from message
Mon 2004-07-19 11:26:55: * message.scr is infected by I-Worm.NetSky.q
Mon 2004-07-19 11:26:55: * message.scr was removed from message
Mon 2004-07-19 11:26:55: * Total attachments scanned    : 4 (including multipart/alternatives and ...
Mon 2004-07-19 11:26:55: * Total attachments infected   : 2
Mon 2004-07-19 11:26:55: * Total attachments disinfected: 0
Mon 2004-07-19 11:26:55: * Total errors while scanning  : 0
Mon 2004-07-19 11:26:55: * Total attachments removed    : 2
Mon 2004-07-19 11:26:55: End of AntiVirus results

терь более дитально, чтобы вопросов не было...


Mon 2004-07-19 11:26:54: Session 5773; child 3; thread 1000
Mon 2004-07-19 11:26:40: Accepting SMTP connection from [195.161.155.35 : 2687]
Mon 2004-07-19 11:26:40: --  220 xxxxxx ESMTP Daemon; Mon, 19 Jul 2004 11:26:40 +1000
Mon 2004-07-19 11:26:40:  -- EHLO xxxxxx
Mon 2004-07-19 11:26:40: --  250-xxxxxx Hello xxxxxx, pleased to meet you
Mon 2004-07-19 11:26:40: --  250-ETRN
Mon 2004-07-19 11:26:40: --  250-AUTH=LOGIN
Mon 2004-07-19 11:26:40: --  250-AUTH LOGIN CRAM-MD5
Mon 2004-07-19 11:26:40: --  250-8BITMIME
Mon 2004-07-19 11:26:40: --  250-STARTTLS
Mon 2004-07-19 11:26:40: --  250 SIZE 0
Mon 2004-07-19 11:26:41:  -- MAIL FROM: spn@spn.ru
Mon 2004-07-19 11:26:41: --  250  spn@spn.ru , Sender ok
Mon 2004-07-19 11:26:41:  -- RCPT TO: 3dhaa@xxxxxx
Mon 2004-07-19 11:26:41: --  250  3dhaa@xxxxxx , Recipient ok
Mon 2004-07-19 11:26:41:  -- DATA
Mon 2004-07-19 11:26:41: Creating temp file (SMTP): 50000001787.tmp
Mon 2004-07-19 11:26:41: --  354 Enter mail, end with  CRLF . CRLF
Mon 2004-07-19 11:26:53: Passing message through the spam filter...
Mon 2004-07-19 11:26:53: Applying spam filter to message
Mon 2004-07-19 11:26:53: Spam filter score/req: 7.09/10.0
Mon 2004-07-19 11:26:53: Message creation successful: 50000039880.msg
Mon 2004-07-19 11:26:53: --  250 Ok, message saved  Message-ID:  
Mon 2004-07-19 11:26:54:  -- QUIT
Mon 2004-07-19 11:26:54: --  221 See ya in cyberspace
Mon 2004-07-1

Свой

  • ***
  • Сообщений: 1976
    • Просмотр профиля
#1: 25 Июля 2004, 23:23:00
Хм, а можно это чуть более по человечески (менее технически) раскидать?.. а то ничего почти  непонятно.

Sashka

  • ***
  • Сообщений: 5781
    • Просмотр профиля
#2: 26 Июля 2004, 15:44:24
1. список времени подключений засранцев
2. список вирусов от засранцев при удачном подключении
3. лог одного из коннекта засранцев

по ним уже давно статья УК плачет

Свой

  • ***
  • Сообщений: 1976
    • Просмотр профиля
#3: 26 Июля 2004, 17:05:15
Гм..
нда, косяк

Дык почему сразу козлы из Альфа-канала? Они че, ведают что там у них в сетях творится? Они просто работают, а какие там вирусы где летают, это ведь проблема не журналистов или кого там еще?

Sashka

  • ***
  • Сообщений: 5781
    • Просмотр профиля
#4: 26 Июля 2004, 17:28:39
некоторые \"дырки\" трусами прикрывают, я извиняюсь...
вот и выходит - праздновать день сисадмина в полном дардаке

fluf

  • ***
  • Сообщений: 7191
    • Просмотр профиля
    • http://forum.amur.ru
#5: 26 Июля 2004, 20:48:26
факт.
для сисадмина его сетка - дом родной. И все что в ней творится он должен знать на раз-два-три.
Я б еще понял если б речь шла о локалке, например Авто-ваза (знавал я перца оттуда), дык там оптика между зданиями лежит и по триста компов на сегменте. А тут.... :(
Представляю если б кто-нибудь меня упрекнул что бежит у нас из всех щелей в локалке. Дык в начале пришлось бы голову пеплом посыпать, потом пиво тому челу вкатить немеряно за конструктивную критику, а затем аррбаттен батенька, аррбаттен ;)

Ара

  • Гость
#6: 26 Июля 2004, 20:58:28
А кто там сисадминит щас?

навскидку

  • Гость
#7: 26 Июля 2004, 21:17:14
Случаем не Серега Васильев ака \"Макрос\" , что раньше в АМГУ был ?

Sashka

  • ***
  • Сообщений: 5781
    • Просмотр профиля
#8: 26 Июля 2004, 22:06:24
2 fluf
неужто на сервер нельзя антивирь поставить? если там через NAT вирусы пускают, то там полный беспредел, придется им от нашей организации парочку трусов то подарить

интересующийся

  • Гость
#9: 27 Июля 2004, 08:53:23
2Sashka: а как через NAT вирусы не пускать? Закачиваю я например на ftp вирус, как меня на сервере можно пресечь?

fluf

  • ***
  • Сообщений: 7191
    • Просмотр профиля
    • http://forum.amur.ru
#10: 13 Августа 2004, 15:32:49
смотрю тут от скуки логи фаервола, с периодичностью пара минут появляется новая запись:
[13/Aug/2004 15:14:29] {pktdrop} packet filtered and dropped by traffic rules (from leased-line, proto:UDP, len:78, ip/port:195.151.157.171:1027 -  localhost:137, udplen:50)

Айпишник однако нашего Внешторгбанка. Серьезная вроде контора.
Что там у них долбиться может?
Вирь тупоголовый? Но тогда почему постоянно, просканировал один раз, да пропал.
137 порт - это однако NetBios, шарингов открытых кому-то захотелось?
Удивляет не сам факт сканирования, такого дерьма полно в логах, и их постоянносто...
Странно все...

Sashka

  • ***
  • Сообщений: 5781
    • Просмотр профиля
#11: 15 Августа 2004, 22:58:53
С чего ты взял, что это VTB ?

fluf

  • ***
  • Сообщений: 7191
    • Просмотр профиля
    • http://forum.amur.ru
#12: 16 Августа 2004, 08:42:32
inetnum:      195.151.157.160 - 195.151.157.191
netname:      AMUR-VTB-NET
descr:        (4713) VneshTorgBank, Blagoveschensk
              Dmitry Pletnev
              65/1 Sovetskaya ul.
              Blagoveschensk, 675005
              Russia
              phone: +7 416 242 2908
country:      RU
admin-c:      DP534-RIPE
tech-c:       DP534-RIPE
status:       ASSIGNED PA
mnt-by:       ROSPRINT-NCC
changed:      dru@ipnms.rosprint.net 19980225
changed:      dru@rosprint.net 19990415
source:       RIPE

Возмущенный

  • Гость
#13: 09 Июня 2005, 10:33:49

Уже несколько дней я получаю на свое \"мыло\" всякую хренотень с адреса РА \"Игра\" - напимер, вот такое:
MAILER-DAEMON@inc.ru
Undeliverable mail: Mail Delivery (failure 12817947828.20050601674857@ra-igra.ru)

Вы там разберитесь со своей системой, задолбали уже!!!
 

Миха

  • *****
  • Сообщений: 12222
    • Просмотр профиля
#14: 09 Июня 2005, 13:34:51
Не надо портить славный Амитовский форум упоминаниями об Альфе и иже с ними. Бррр...

Свой

  • ***
  • Сообщений: 1976
    • Просмотр профиля
#15: 09 Июня 2005, 14:45:50
Ничего себе у вас тут отношение к коллегам :)

Ну-ну.

Миха

  • *****
  • Сообщений: 12222
    • Просмотр профиля
#16: 10 Июня 2005, 18:40:40
К коллегам от терпимого до благожелательно, а вот к форуму альфы, очень негативное. До фильтрации на сервере.