ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Anton Yuzhaninov                     2:5020/400     15 Nov 2006  17:15:20
 To : Dmitry Dolzenko
 Subject : Re: Hайди зомбака - 2
 -------------------------------------------------------------------------------- 
 

 Hello, Dmitry!
 You wrote  on Wed, 15 Nov 2006 12:55:04 +0000 (UTC):
 
  DD> Одолели последне время спаморассыльные трояны во внутренней сети.
  DD> Есть мысль сделать скрипт, предепреждающий о подозрительной
  DD> активности машины из внутренней сети.
 
  DD> Т.е. если машина открывает больше 3 коннектов в минуту на внешние
  DD> машины на 25 порт - шлем мыло админу.
 
  DD> Как это лучше реализовать?
 
 Я делал так:
 1. ng_ipacct пишет подробные логи в виде текстовых файлов (сделано это было 
 задолго до появления проблемы со спам-троянами для дополнительного контроля 
 средств учета трафика и разбора полетов).
 2. раз в час перловый скрипт парсит эти логи. Если видит что за час одни 
 клиент успешно (есть входящий трафик) подключился более чем к 10-и разным 
 smtp-серверам, то на джаббер админу шлется сообщение.
 
 Входящий трафик смотрится чтобы те, кому 25 порт закрыт не вызывали 
 срабатывания системы (от них идет только исходящий и в инет он не уходит).
 
 --
 Anton Yuzhaninov, OSPF-RIPE, mail: citrin (at) citrin.ru 
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Hайди зомбака - 2   Dmitry Dolzenko   15 Nov 2006 16:55:04   Re: Hайди зомбака - 2   Anton Yuzhaninov   15 Nov 2006 17:15:20   Re: Hайди зомбака - 2   Dmitry Dolzenko   15 Nov 2006 20:04:19   Hайди зомбака - 2   Andrey Ostanovsky   15 Nov 2006 18:24:06   Re: Hайди зомбака - 2   Michael Lednev   15 Nov 2006 21:02:01   Hайди зомбака - 2   Andrey Ostanovsky   16 Nov 2006 00:20:24