Спам вирус
 

Всем привет. Такой вопрос, подскажите, пришло сегодня письмо от провайдера, что заблокировали наш внутренний ip из-за подозрения в отправке спама. В сети 30 машин XP и 2 сервера Opensuse
один из серверов используется как почтовый сервер(postfix+cyrus), на него настроенны все почтовые клиенты в сети, сам он передает всю исходящую почту провайдерскому почтвому серверу.... Посмотрел в логах postfix на предпологаемое время отправки спама из нашей сети, но ничего подозрительного не нашел...
Как можно выявить зараженный компьютер?

Проверить антивирусами Kasperskiy, Doctor Web, NOD3, и утилитами AVZ Ad-Aware
Вообще смотрите следующие темы:
Обсуждение "Борьбы с троянами, шпионскими и рекламными..."
Важно знать!, Компьютерная безопасность, защита, лечение

На шлюзе разрешить исходящие на 25 порт только почтовому серверу, все остальные запретить и смотреть лог заблокированных исходящих с любого порта на внешний 25 порт. Можно вместо файервола обойтись анализатором пакетов, типа Snort. На почтовом сервере доп. поставить авторизацию для отправки. Спросите логи у провайдера для и настройте анализ исх. пакетов по ключевым словам (по рез-м анализа логов провайдера)

спасибо. помогла строчка в iptables на сервере и установка авторизации на отправку
$IPT -A FORWARD -p tcp -s 192.168.0.0/24 $INET_LAN --dport 25 -j REJECT

Nexa4yxa, Пожалуйста :) Теперь включаете в строчку iptables ведение лога, определяете ip зараженного компа и выкладываете с него логи AVZ и HJT по правилам