ネットワーク上のスパムボットをどのように検出しますか?
約40台のコンピューターからなる小規模なネットワークの管理を支援しています。 Exchange 2003メールサーバーを実行しています。
スパムボットに感染しているマシンを見つけるための最良の方法は何ですか?各コンピュータにウイルス対策プログラムとマルウェア対策プログラムをインストールしてみました。コンピューターをスキャンした後、悪意のあるプログラムが多く含まれているコンピューターを見つけ、問題が解決したと思いました。ただし、ドメインはDNSブラックリストによってブロックされ続けており、クライアントが電子メールを受信するためには、ドメインを毎日削除する必要があります。
注:私たちは、ディレクトリハーベストとバックスキャターの戦術に襲われています。
編集:私たちの電子メールサーバーは、DNSサーバーを兼ねています。これにより、スパム攻撃の脆弱性が開かれる可能性はありますか?
まず、スパムを阻止する必要があります。
a-ファイアウォールをnotに設定して、電子メールサーバーからの送信以外の送信SMTP/POPを許可します。
b-メールサーバーをnotに設定して、送信リレーを許可します。
次に、問題のあるマシンを見つける必要があります。
1-ファイアウォールのログを調べて、実際に送信メールを送信しようとしてブロックされているマシンを確認します。これらのマシンは感染しています。
2-各マシンに最新のA/Vがあることを確認し、各マシンで完全なスキャンを実行します。
3-各マシンにWindowsファイアウォールを実装することができます。
4-それでも見つからない場合は、スニファを使用する必要があります。
注:同じサーバー上のDNSと電子メールが問題になるとは思いません。
問題は、ExchangeサーバーがRELAYを許可していることである可能性があります。設定がオフになっていることを確認するか、そのサーバーを経由してリレーできるIPのみを設定してください。ネットワーク設計では、Exchange Serverがポート25経由でネットワークからトラフィックを送信することのみを許可する必要があります。
ほとんどのスパムボットはポート25を使用します。このように設定すると、他のマシンがポート25経由で送信しようとすると、ファイアウォールログに表示されます。
幸運を!
- ネットワークトラフィックを盗聴する必要があります。 tcpdumpに似た単純なパケットダンプから豪華なGUI視覚化アプリまで、多くの素晴らしいツールが利用できます。通常、次のいずれかを行う必要があります:a)スイッチの特別なポートに接続する、b)別のポートを構成してすべてのトラフィックを表示する、またはc)ファイアウォール/ルーターからスニッフィングを行う。まず、Exchangeサーバーではないマシンから外部へのSMTPトラフィックを見つけることに焦点を当てます。後ですべてのトラフィックを調べて、他に何が起こっているかを確認する必要があります。たとえば、IRCが何であるかさえ知らない誰かのマシンからのIRC。
- ネットワークのどのトラフィックを許可outするかをプレーン言語で記述し、ロギングを使用してファイアウォール/ルーターに送信ルールを実装します。これがいかにうまく機能するかに驚かれることでしょう。そして、それはあなたが何か悪いことが起こっていることを知ることを意味します前あなたは外部のパーティーからそれを聞きます!
ファイアウォールがある場合、簡単な解決策は、Exchangeサーバーを除くすべての送信ポート25トラフィックをブロックすることです。個々のマシンがスパムを送信しようとしている可能性があります。ブロックを設定したら、ファイアウォールログをチェックして、どのIPが試行して失敗しているかを確認し、ポート25をアウトバウンドにヒットさせます。
データはどこに保存されていますか?ハードウェアはほとんど同じですか?それらの多くのイメージを再作成するのが最も簡単かもしれません。
ネットワーク上のトラフィックを監視するShowtrafというプログラムを以前に使用しました。以前にも同様の問題があり、ポート25で膨大な量のデータを送信しているIPを示していました。
ここで利用可能- http://demosten.com/showtraf/