Squid и рассылка спама

[elitegroup]

Здравствуйте!
Возникла пробема, заглянул в лог сквида (Access.log) и онаружил там интерсные записи, которые в принципе не должны там никак не отображаться

1209378433.578 26828 192.168.0.118 TCP_MISS/200 495 GET http://64.12.163.147/monitor? - DIRECT/64.12.163.147 AIM/HTTP
Apr 28 16:27:13 root postfix/smtpd[15536]: C1549162EF0: client=unknown[89.32.137.49]
Apr 28 16:27:14 root postfix/cleanup[16095]: C1549162EF0: message-id=<000501c8a91a$015cb729$da64148f@bmxewnhi>
Apr 28 16:27:15 root postfix/qmgr[6333]: C1549162EF0: from=<ted@mouseplanet.com>, size=16235, nrcpt=1 (queue active)
Apr 28 16:27:15 root postfix/smtpd[15536]: disconnect from unknown[89.32.137.49]
Apr 28 16:27:17 root postfix/smtpd[15971]: connect from root.ХХХХХ.ru[127.0.0.1]
Apr 28 16:27:17 root postfix/smtpd[15971]: 6C767163008: client=root.ХХХХХ.ru[127.0.0.1]
Apr 28 16:27:17 root postfix/cleanup[16037]: 6C767163008: message-id=<000501c8a91a$015cb729$da64148f@bmxewnhi>
Apr 28 16:27:17 root postfix/qmgr[6333]: 6C767163008: from=<ted@mouseplanet.com>, size=16824, nrcpt=1 (queue active)
Apr 28 16:27:17 root postfix/smtpd[15971]: disconnect from root.ХХХХХ.ru[127.0.0.1]


Очень часто появляються такие записи, и наш ип постоянно попадает спамлисы, дистрибутв установлен Linux 3.0 Compact.

Отсюда и вопрос, вожможно ли такое что наш сквид используется для рассылки спама и как с этим бороться ??? проверил все машины в сетке, ни одного трояна рассыли спама не обнаружил.

[shadowless]

вообще странно что в логах сквида появились куски логов постфикса, то что это почтовый троян уверен на 100% сам недавно с таким столкнулся, попробуйте на пограничном маршрутизаторе использовать trafshow чтобы установить ip машины с которой идет спам

[elitegroup]

То есть это все таки идет рассылка с машины которая стоит в локальногй сети?

[shadowless]

Цитата: Сообщение от elitegroup То есть это все таки идет рассылка с машины которая стоит в локальногй сети?

именно, попробуйте на машине шлюзовой поглядеть или с помощью trafshow или tcpdump'ом , последним кстати предпочтительней примерно так tcpdump -i fxp0 tcp dst port 25 or src port 25 где fxp0 имя интерфейса смотрящего внутрь сети

[elitegroup]

Цитата: Сообщение от shadowless именно, попробуйте на машине шлюзовой поглядеть или с помощью trafshow или tcpdump'ом , последним кстати предпочтительней примерно так tcpdump -i fxp0 tcp dst port 25 or src port 25 где fxp0 имя интерфейса смотрящего внутрь сети

посмотрел tcpdump на внутреннем интерфейсе ничего не вывело,хотя по логам сквида спам идет вовсю

[shadowless]

Цитата: Сообщение от elitegroup посмотрел tcpdump на внутреннем интерфейсе ничего не вывело,хотя по логам сквида спам идет вовсю

вообще крайне странно - сквид он же кэширующий http прокси и как таковой к почте никоим боком не относится, правда сейчас зародилась мысль, а нет ли у вас во внутреней сети какогонибудь http сервера (тем же nmap'ом можно всю сеть и проверить) возможно кто то из пользователей намеренно шлет спам скриптом

[evgras]

Цитата: Сообщение от elitegroup посмотрел tcpdump на внутреннем интерфейсе ничего не вывело,хотя по логам сквида спам идет вовсю

Две простые церочки в iptables Вам помогут
-A FORWARD -p tcp --dport 25 -j LOG
-A FORWARD -p tcp --dport 25 -j DROP
Первая запишет в лог кто и куда шлет спам, а вторая запретит прохождение через шлюз

[elitegroup]

Цитата: Сообщение от evgras Две простые церочки в iptables Вам помогут -A FORWARD -p tcp --dport 25 -j LOG -A FORWARD -p tcp --dport 25 -j DROP Первая запишет в лог кто и куда шлет спам, а вторая запретит прохождение через шлюз

а где потом смотреть этот лог?

[shadowless]

Цитата: Сообщение от evgras Две простые церочки в iptables Вам помогут -A FORWARD -p tcp --dport 25 -j LOG -A FORWARD -p tcp --dport 25 -j DROP Первая запишет в лог кто и куда шлет спам, а вторая запретит прохождение через шлюз

так вовсе и не факт что там пингвин стоит. автор темы уточните ос и используемый фаервол

[elitegroup]

Цитата: Сообщение от shadowless так вовсе и не факт что там пингвин стоит. автор темы уточните ос и используемый фаервол

ОС стоит Linux 3.0 Compact, конечно не лучший вариант насколько я наслышан для серверов, а в какчестве фаервола стоит iptables

[evgras]

Цитата: Сообщение от elitegroup а где потом смотреть этот лог?

/var/log/messages
А вообще для того, чтобы squid использовался только в локальной сети
следует определить порт http_port 192.168.0.1:3128 в squid.conf. В этом случае squid будет работать только на локальном адресе

[shadowless]

Цитата: Сообщение от evgras /var/log/messages А вообще для того, чтобы squid использовался только в локальной сети следует определить порт http_port 192.168.0.1:3128 в squid.conf. В этом случае squid будет работать только на локальном адресе

ну так а толку? спамят из серой сетки то

[evgras]

Цитата: Сообщение от shadowless ну так а толку? спамят из серой сетки то

Из чего это следует?
root postfix/smtpd[15536]: C1549162EF0: client=unknown[89.32.137.49] - эта запись говорит об обратном

[shadowless]

Цитата: Сообщение от evgras Из чего это следует? root postfix/smtpd[15536]: C1549162EF0: client=unknown[89.32.137.49] - эта запись говорит об обратном

хм, действительно, сорри невнимательно лог прочел

[elitegroup]

Цитата: Сообщение от evgras Две простые церочки в iptables Вам помогут -A FORWARD -p tcp --dport 25 -j LOG -A FORWARD -p tcp --dport 25 -j DROP Первая запишет в лог кто и куда шлет спам, а вторая запретит прохождение через шлюз

кажеться нашел кто такой нехороший спамит, в логе нашел такие интерсные записи и очень много их причем из 1 ип все шлеться на разные внешние ип.
May 13 10:32:28 root kernel: IN=eth1 OUT=ppp0 SRC=192.168.0.16 DST=195.128.92.163 LEN=44 TOS=0x00 PREC=0x00 TTL=127 ID=37871 PROTO=TCP SPT=54070 DPT=25 WINDOW=24000 RES=0x00 SYN URGP=0

если правильно понимаю то это те самые записи iptables