Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Спам-бот в сети

Ответить
Настройки темы
Спам-бот в сети

Новый участник


Сообщения: 2
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изображения
Тип файла: jpg результат.jpg
(8.3 Kb, 2 просмотров)
Вложения
Тип файла: zip CollectionLog-2018.01.24-22.20.zip
(78.8 Kb, 1 просмотров)
Добрый день! Недавно внешний адрес почтовика попал в XBL спамхауса. Не безосновательно. Каждые несколько часов фиксировались заблокированные сообщения с нашего внешнего адреса. Причём почтовый домен не находится в блокировке как ни странно.

Пытался диагностировать:

Вырубал почтовик(exchange 2010 на виртуалке VMWare ESXI - ос server 2008r2), спам пакетами останавливался на момент остановки сервера, но так в целом спам шёл практически 24/7 (в сети машины не работают сутками кроме пары из них).
Поэтому понятно, что протокол используется 25ый, через сервер но он является скорее посредником, заражен вероятно клиент Outlook на одной из станций.

Прогонял антивирусом почтовик, пробовал с актуальными базами NOD32 (у нас лицензия на сеть) , Каспер, Cureit. Безрезультатно, все антивирусы показывают, что ПК чист.

Пробовал поиск по почтовым ящикам, чтобы выявить откуда спам, но видимо я недостаточно шарю в exchange - поиск через DiscoverySearchMailbox выдал аж 50+ гигов писем за 2 дня , чего в принципе быть не может в организации с 60 юзерами.

Есть еще момент - за пару дней до попадения в спамхаус одновременно (!!!) крашнулись 2 клиента аутлука, где на ПК только security essentials. Их благополучно вывели на веб интерфейс, т.к. ошибку было устранять некогда. И да, не везде стоят антивирусы, а только около 80% машин.

Пока что план действий таков:
Проверить 2 компа с крашем аутлука и посмотреть только историю их ящиков. Возможно что-то найду
Покуда в домене 55 станций на одной территории, можно проверить у всех антивирус/запустить проверки. Возможно даст какую пользу.
Всё же разобраться с exchange поиском по ящикам, промониторить, все пк где зараженные ящики полностью заменить с форматом.

Прошу дать совет как лучше поступить в такой ситуации, возможно кто либо здесь уже сталкивался с проблемой? Лог с почтовика по рекомендациям раздела прикрепил. Но мне кажется в сети сидит где-то. Буду рад любому совету

Отправлено: 22:24, 24-01-2018

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать

Здравствуйте!

В этих логах - порядок. Ничего подозрительного.
Если решите проверить другой ПК, создайте для него отдельную тему.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

-------

Отправлено: 11:08, 25-01-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Спам-бот в сети

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Windows Live Mail - постоянно приходит спам или не спам medvedkovo Лечение систем от вредоносных программ 2 19-04-2016 14:49
Javascript бот akmatoff Вебмастеру 0 07-09-2014 02:38
2008 - [решено] Сеть заражена спам-бот трояном! djuwa4 Windows Server 2008/2008 R2 15 14-03-2014 12:36
.NET - [решено] C# и XMPP-бот. Chilli Программирование и базы данных 4 11-07-2011 18:36
Прочее - Спам в сети Smirniy Сетевые технологии 1 30-07-2009 00:47


« Предыдущая тема | Следующая тема »


 
Переход