Walczę sobie właśnie z zombie w naszej sieci… To znaczy wyciągam z logów
podejrzane adresy, z których było podejrzanie dużo połączeń SMTP, oglądam na co
się łączą i jak to rzeczywiście są różne MXy, to blokuję port 25 dla tych
komputerów. Standardowa procedura…
Dzisiaj jednak pojawiło się coś ciekawego… niektóre komputery łączą sie na
dziwne adresy IP (bez revDNS, lub z automatycznym
revDNS jak np.
z neostrady), co sugerowałoby jakieś P2P na porcie 25 (zdarza się). Jednak na
niektórych z tych IP było normalne SMTP. Sprawdzając co to za adresy (czy
revDNS wygląda na jakiegoś MXa) trafiłem na IP: 207.46.250.119. To co pokazało mi
host 207.46.250.119 poraziło. Uznałem, że jakiś spamer przypisał sobie tyle
nazw, żeby utrudnić wykrycie albo ogłupić filtry. Nawet nie sprawdzałem czy
prosty DNS dla nich działa, założyłem, że nie… Z ciekawości zajrzałem jeszcze
do WHOIS… i szczęka mi opadła. Potem dla pewności sprawdziłem prosty DNS.
Wszystko się zgadza. Po cholerę ci idioci robili coś takiego? Żeby resolvery
na całym świecie się nie nudziły?
A teraz mam problem, czy te kompy co się tam (i nie tylko tam) łączyły są
rzeczywiście zarobaczone, czy to po prostu nowe normalne zachowanie
popularnego oprogramowania…
U Jajcusia 
ło matko, ale czad….
PolubieniePolubienie
Mogłoby być normalne zachowanie – bo niby dlaczego nie?
Z drugiej strony – zrobinie zombie to także żaden problem, więc przy lekkim przybliżeniu można przyjąć, że (normalne oprogramowanie == zombie).
PolubieniePolubienie
buuu… nie działa ;(
cr@zoe:~$ host 207.46.250.119
207.46.250.119 PTR record not found
PolubieniePolubienie
cr: nie masz małego MTU u siebie i/lub zablokowanego portu TCP 53? W normalnym komunikacie DNS/UDP może się odpowiedź nie zmieścić.
A może twój serwer DNS z tym czymś sobie nie radzi. Wcale by mnie to nie dziwiło.
PolubieniePolubienie
[konrad@www konrad]$ host 207.46.250.119
;; Truncated, retrying in TCP mode.
[371 linii wyciętych…]
Rzeczywiście robi wrażenie. Wcale mnie nie dziwi, że nie mieści się w UDP.
PolubieniePolubienie