[Angry Demon]

Цитата djuwa4:

Я не понял как это сделать?

Используя netstat, например.

[djuwa4]

Цитата Angry Demon:

Используя netstat, например. »

А СП, до меня только сейчас дошло, компьютеры то инфицированные, а принцип работы бота - это передача информации серверу хозяину. Камрад, а нет ip скана, который показывал бы в довесок весь трафик у отдельно выбранных адресов?

[Angry Demon]

Цитата djuwa4:

а нет ip скана, который показывал бы в довесок весь трафик у отдельно выбранных адресов?

Причём тут IP-скан? Вам же не адреса изучать надо. Воспользуйтесь, например, TMeter.
Хотите видеть всё централизовано - ставьте его на шлюз.

[djuwa4]

Из следующий строчки, я так понял, что зря пинаю на спам бота: "Инфекция была обнаружена при наблюдении этот адрес пытается вступить в контакт с сервером ZeuS командования и управления (C & C), центральный сервер используется преступниками для управления с ZeuS инфицированных компьютеров (ботов)". Скорей спам от нас не идёт, а просто один из компьютеров заражён шпионским трояном и периодически соединяется с сервером хозяином. То есть тут 25 порт smtp роли не играет
Вывод проверить все компы в сети.

Цитата Angry Demon:

Хотите видеть всё централизовано - ставьте его на шлюз. »

Я понял вас: посмотреть на фаерволе логи исходящего трафика. Причём, опять же исходя из сообщения на спамхаус, эта зараза лишь раз в четыре дня соединяется с хозяином.

[djuwa4]

MS антивирусом нашёл Win32/Fareit.gen!C : по описанию очень похож (PWS:Win32/Fareit.gen!C является общим обнаружения трояна, который крадет конфиденциальную информацию с вашего компьютера и отправляет его на удаленный злоумышленник.)
Каспер и АВГ его не видели!

[WindowsNT]

В какой папке конкретно?

[djuwa4]

Цитата WindowsNT:

В какой папке конкретно? »

Камрад, моё упущение - не посмотрел.. Торопился удалить. Как оказалось причина не в этом!! Сегодня опять обнаружил нас в CBL, благо вовремя удалил без ущерба для почти.

Картина такая: проблему эту решаю с опытным админом(удалённым, он хорошо знает нашу сетку), с его слов, все мною вышеуказанные действия - это трата времени в пустую. Ибо атниспам сервисы отслеживают только 25 порт. Повторюсь, 25 порт закрыт на шлюзе, он открыт только ES и DC? Следовательно нужно отслеживать трафик исключительно на них. Так ли это?? Кто знает принцип сортировки ip в ужасные спамеры этими сервисами???
Если так, то картина тоже безрадостная:
Захожу на эти серваки, сохраняю в текстовый файл данные от команды netstat -a -n -o. Анализирую лог по 25 порту и процессу висящему на нём? Сравниваю pid на ES через 25 ходит исключительно EdgeTransport.exe(с этим понятно), на dc сложнее inetinfo.exe : описание : Процесс Internet Information Services

принадлежит программе Internet Information Services или World Wide Web Publishing или IIS Admin, Simple Mail Transfer Protocol (SMTP), World Wide Web Publishing или IIS Admin или IIS Admin, FTP Publishing, Simple Mail Transfer Protocol (SMTP), World Wide Web Publishing или IIS Admin, Simple Mail Transfer Protocol (SMTP) или NVIDIA Drivers или IIS Admin, World Wide Web Publishing
Подозрения не вызывает. FTP нет, только IIS.
Однако бездействие системы (System idle process) на 25 порту - это странно для меня.

Камрады, если есть кому что добавить по этим выводам, то жду советов. Заранее спасибо!

[WindowsNT]

Троян, запущенный на рабочей станции пользователя, способен считать настройки его Outlook-а и использовать легальный транспорт Outlook для дальнейших пересылок.
Поэтому блокировка порта 25 для доступа только с почтового сервера бесполезна.
Но я бы включил журналирование на SMTP-сервере, чтобы видеть, откуда из внутренней сети исходят эти соединения.

[djuwa4]

Цитата WindowsNT:

Но я бы включил журналирование на SMTP-сервере, чтобы видеть, откуда из внутренней сети исходят эти соединения. »

Я понял, спасибо! Полагаю антивирусными средствами его всё-таки можно найти?