Сеть заражена спам-бот трояном!
 

Поскольку я точно не сумел сориентироваться в какую ветку расположить тему, прошу админов сделать это на своё усмотрение!!!
Доброго времени суток форумчане! Есть большая проблема: почта предприятия, блокируется уже второй раз http://www.spamhaus.org (кто не знает, это авторитетный спам лист с которым сверяется большинство провайдеров сверяются с ним). Увы почта теперь не работает на исходящие. Как удалить почту из спам листа я теперь знаю, но как предотвратить попадание туда - это вопрос большой!!! А конкретно:
Причина бана в том, что "IP-адрес .............. перечислен в CBL. Похоже, что они инфицированы рассылки спама трояном, прокси-сервер или какой-либо другой форме ботнета.

Было в прошлом обнаружены на 2014-03-11 11:00 GMT (+ / - 30 минут), примерно в 20 часов назад.

Было relisted после предыдущего удаления в 2014-03-07 6:59 по Гринвичу (4 дня, 23 часов, 35 минут назад)

Этот IP-адрес заражен, или NATting для машины, инфицированных трояном ZeuS, также известный как "Zbot» и «WSNPoem".

Как найти эту заразу не знаю, подскажите пожалуйста??? Коллеги, просьба в данный момент не давать советы в стиле: раз не научился админить такую сеть, то и почту вынеси к провайдеру)))) Это дельный совет, но пока не умесный!

Мои действия предпринятые в первый раз: Поскольку в сети почтовый сервер находится на отдельном компьютере под управлением Exchainge на 2008, 25 порт открыт только ему и почему то контроллеру домена (так делал прошлый админ), доступ всем клиентским машинам закрыт по 25 порту, с почтовиком они дружат через оутлук. Я прогонял машинки ES и DC сначала нодом со свежими базами, потом утилитами для борьбы с этим zbot (zbotkiller - это от каспера и avg_remover_zbot) трояна не нашлось, далее я решил, что этого достаточно и получается пустил на самотёк.

Сейчас нашёл инструкцию на сайте каспера http://support.kaspersky.ru/viruses/solutions/1846 как лечить ручками, хочу уточнить один момент (посмотрите пожалуйста ссылку!!) "Системные администраторы могут распознать зараженные машины в сети путем просмотра исходящих соединений на адрес elena.ccpower.ru через порт 3360" Я не понял как это сделать?

Используя netstat, например.

А СП, до меня только сейчас дошло, компьютеры то инфицированные, а принцип работы бота - это передача информации серверу хозяину. Камрад, а нет ip скана, который показывал бы в довесок весь трафик у отдельно выбранных адресов?

Причём тут IP-скан? Вам же не адреса изучать надо. Воспользуйтесь, например, TMeter.
Хотите видеть всё централизовано - ставьте его на шлюз.

Из следующий строчки, я так понял, что зря пинаю на спам бота: "Инфекция была обнаружена при наблюдении этот адрес пытается вступить в контакт с сервером ZeuS командования и управления (C & C), центральный сервер используется преступниками для управления с ZeuS инфицированных компьютеров (ботов)". Скорей спам от нас не идёт, а просто один из компьютеров заражён шпионским трояном и периодически соединяется с сервером хозяином. То есть тут 25 порт smtp роли не играет
Вывод проверить все компы в сети.

Я понял вас: посмотреть на фаерволе логи исходящего трафика. Причём, опять же исходя из сообщения на спамхаус, эта зараза лишь раз в четыре дня соединяется с хозяином.

MS антивирусом нашёл Win32/Fareit.gen!C : по описанию очень похож (PWS:Win32/Fareit.gen!C является общим обнаружения трояна, который крадет конфиденциальную информацию с вашего компьютера и отправляет его на удаленный злоумышленник.)
Каспер и АВГ его не видели!

В какой папке конкретно?

Камрад, моё упущение - не посмотрел.. Торопился удалить. Как оказалось причина не в этом!! Сегодня опять обнаружил нас в CBL, благо вовремя удалил без ущерба для почти.

Картина такая: проблему эту решаю с опытным админом(удалённым, он хорошо знает нашу сетку), с его слов, все мною вышеуказанные действия - это трата времени в пустую. Ибо атниспам сервисы отслеживают только 25 порт. Повторюсь, 25 порт закрыт на шлюзе, он открыт только ES и DC? Следовательно нужно отслеживать трафик исключительно на них. Так ли это?? Кто знает принцип сортировки ip в ужасные спамеры этими сервисами???
Если так, то картина тоже безрадостная:
Захожу на эти серваки, сохраняю в текстовый файл данные от команды netstat -a -n -o. Анализирую лог по 25 порту и процессу висящему на нём? Сравниваю pid на ES через 25 ходит исключительно EdgeTransport.exe(с этим понятно), на dc сложнее inetinfo.exe : описание : Процесс Internet Information Services

принадлежит программе Internet Information Services или World Wide Web Publishing или IIS Admin, Simple Mail Transfer Protocol (SMTP), World Wide Web Publishing или IIS Admin или IIS Admin, FTP Publishing, Simple Mail Transfer Protocol (SMTP), World Wide Web Publishing или IIS Admin, Simple Mail Transfer Protocol (SMTP) или NVIDIA Drivers или IIS Admin, World Wide Web Publishing
Подозрения не вызывает. FTP нет, только IIS.
Однако бездействие системы (System idle process) на 25 порту - это странно для меня.

Камрады, если есть кому что добавить по этим выводам, то жду советов. Заранее спасибо!

Троян, запущенный на рабочей станции пользователя, способен считать настройки его Outlook-а и использовать легальный транспорт Outlook для дальнейших пересылок.
Поэтому блокировка порта 25 для доступа только с почтового сервера бесполезна.
Но я бы включил журналирование на SMTP-сервере, чтобы видеть, откуда из внутренней сети исходят эти соединения.

Я понял, спасибо! Полагаю антивирусными средствами его всё-таки можно найти?

Только теоретически.

Может стоить обратиться в раздел "Лечение систем от вредоносных программ"?
Я думаю там достаточно квалифицированные специалисты для помощи Вам.

Возможно, просто тема не однознаная.

Форумчане, ещё хотел уточнить, так это нормально, что простой системы 25 порт использует? Как то это странно? ходит на ip 5.199.142.11 IP проверил в спам базах в CBL и спамхаус нет, а именно CBL банит устанавливая от меня соединение с вреданосным сервером. Страна ip германия, хост z011.zebra.myloc.de

Если бы антивирусные средства реально помогали в борьбе с вирусами, вирусы в этом мире уже давно закончились бы..

Rootkit у вас, от что. Компрометация системы потребует уничтожить всё и переустановить с нуля.
Подумайте, какие меры безопасности не были у вас предприняты, чтобы на будущее подстраховаться понадёжнее.

Какмрад, он тут совсем разбушевался, то по одному адресу терзал, а в один момент от жадности решил три заспамить))) Да всё за бугор зараза смотрит: Германия, корея, сша)))
Камрад! спасибо вам за советы!
Это да!!

Камрад, ну вот теперь наверное есть смысл. Просто в этой ветки я и ожидал советов по выявлению проблемного узла в сети, а уж как лечить, постараюсь там обсудить.