Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » IP поместили в блэклист http://cbl.abuseat.org

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

door23

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет!
 
Сегодня заметил, что не ушло 3 письма с нашего почтового сервера (MDaemon). В причине написано Client host [xxx.xxx.xxx.xxx] blocked using cbl.abuseat.org за рассылку спама.
 
Сетка 30 компов, 1 сервер.
Проверил KAV 2010 (новые базы) и CureIt - но ничего не нашел.
 
Заранее благодарен за советы..
 

Всего записей: 11 | Зарегистр. 15-03-2010 | Отправлено: 15:46 01-04-2010
FL0od13



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
[xxx.xxx.xxx.xxx]

Это Ваш внешний адрес?

Цитата:
Проверил KAV 2010 (новые базы) и CureIt - но ничего не нашел.

Проверили что?
 
Вообще варианта два:
1) Заражены компьютеры в сети, а так как открыт 25 порт - эти хосты спамят.
2) У Вас открыт анонимный релей.
 
Решения по 1-му пункту:
Закрыть всем 25-й порт наружу, кроме почтового сервера;
Установить заплатки на клиентских машинах и сервере;
Проверить на вирусы компы и сервер.
 
Решения по 2-му пункту:
Проверить внешний IP на открытый релей: http://www.aupads.org/test-relay.html

----------
Синхронизация контактов между доменами AD (Exchange). Самописная утиль. Тестирование...

Всего записей: 694 | Зарегистр. 04-03-2007 | Отправлено: 16:14 01-04-2010
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Вообще варианта два:  
Вообще вариантов больше. Иногда в подобные списки попадают целиком сети класса С, а то и В. Все эти рбл, днсбл - любительские инициативы, не имеющие никакого официального статуса, поэтому используют их на свой страх и риск. Свяжитесь с теми, кому не дошла почта, и попросите, чтобы они вас занесли в белые списки. Если, конечно, не существует что либо из первых двух причин, о которых упомянул FL0od13
 

Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 17:33 01-04-2010
door23

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем спасибо! Буду пробовать.

Всего записей: 11 | Зарегистр. 15-03-2010 | Отправлено: 06:24 02-04-2010
FL0od13



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Если внимательно почитать про список http://cbl.abuseat.org, то можно заметить следующий комментарий:
Цитата:
The CBL only lists individual IPs, it NEVER lists ranges.

Это я к тому, что целой сетью попасть в этот список весьма затруднительно.
Целыми подсетями "банят" такие списки, как uceprotect.net.
А cbl.abuseat.org вполне "уважаемый" список, хотя, конечно все ошибаются. И утверждение "на свой страх и риск" верно.
door23
Посмотрите свой IP по другим спискам:
http://www.blacklistalert.org
http://www.dnsbl.info
P.S. Мои внешние IP, например, ни в один список не попадают .

----------
Синхронизация контактов между доменами AD (Exchange). Самописная утиль. Тестирование...

Всего записей: 694 | Зарегистр. 04-03-2007 | Отправлено: 09:44 02-04-2010
Dominion



Тыг-дым, тыг-дым
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Пока искал причину, cbl занесли IP без возможности удаления(слишком часто удалял), со словами YOU MUST FIX THE PROBLEM FIRST! .
Проблему выявил, но как теперь удалить IP из списка.
 
 
Добавлено:
На какое мыло им можно поплакаться.
 
 
Добавлено:
Немного схитрил, нашёл заблокированный IP, взял ссылку на удаление из листа, изменил IP на свой и вуаля, из списка исключён
Надеюсь прокатит

----------
Сегодня я буду кутить. Весело, добродушно, со всякими безобидными выходками. © Король

Всего записей: 5471 | Зарегистр. 16-04-2002 | Отправлено: 10:51 17-09-2010 | Исправлено: Dominion, 11:36 17-09-2010
FL0od13



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dominion

Цитата:
Проблему выявил

Что за причина была, если не секрет?

Цитата:
На какое мыло им можно поплакаться.

Мыло есть в факе - http://cbl.abuseat.org/faq.html (How do I contact the folks behind the CBL?):

Цитата:
Our email address is cbl@cbl.abuseat.org.


----------
Синхронизация контактов между доменами AD (Exchange). Самописная утиль. Тестирование...

Всего записей: 694 | Зарегистр. 04-03-2007 | Отправлено: 11:55 17-09-2010
Dominion



Тыг-дым, тыг-дым
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
FL0od13
Пока на шлюзе не поставил CommView, не нашёл бы корень зла в офисе. А так, Каспер(к сожалению он стоит) + ТроянРемувер не нашли ничего. Сейчас стоит cureit, уже чтук 20-ть накапал. Отправил помощника переписывать названия, буду смотреть какой гад меня так подставил.

Цитата:
Мыло есть в факе  

Спсб, что-то всё перерыл и никак найти не мог.


----------
Сегодня я буду кутить. Весело, добродушно, со всякими безобидными выходками. © Король

Всего записей: 5471 | Зарегистр. 16-04-2002 | Отправлено: 12:48 17-09-2010
FL0od13



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dominion

Цитата:
Пока на шлюзе не поставил CommView, не нашёл бы корень зла в офисе.

Аккуратнее с CommView. Его драйвер иногда приводит к BSODу. Недавно сам попал.

Цитата:
А так, Каспер(к сожалению он стоит) + ТроянРемувер не нашли ничего)

Являясь фанатом кошмарского, не могу не спросить... Какая версия винды и какой каспер?

----------
Синхронизация контактов между доменами AD (Exchange). Самописная утиль. Тестирование...

Всего записей: 694 | Зарегистр. 04-03-2007 | Отправлено: 12:55 17-09-2010
Dominion



Тыг-дым, тыг-дым
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
FL0od13

Цитата:
Являясь фанатом кошмарского, не могу не спросить... Какая версия винды и какой каспер?

SP3, Кошмар 2009.
 

Цитата:
Аккуратнее с CommView.  

Ну он мне только нарушил работу тырнета, после ребута всё в норме


----------
Сегодня я буду кутить. Весело, добродушно, со всякими безобидными выходками. © Король

Всего записей: 5471 | Зарегистр. 16-04-2002 | Отправлено: 14:11 17-09-2010
FL0od13



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dominion

Цитата:
SP3, Кошмар 2009.

Если вдруг ситуёвина повторится на другой машине, попробуйте заюзать корпоративного каспера: http://www.kaspersky.ru/productupdates?chapter=147083907 (с включённой самозащитой, паролем на удаление и т.п.).

----------
Синхронизация контактов между доменами AD (Exchange). Самописная утиль. Тестирование...

Всего записей: 694 | Зарегистр. 04-03-2007 | Отправлено: 14:21 17-09-2010
Dominion



Тыг-дым, тыг-дым
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Чо-то мы нафлудили.
 
FL0od13
Денег нема, будь моя воля, я бы нортон поставил, он мне больше по душе


----------
Сегодня я буду кутить. Весело, добродушно, со всякими безобидными выходками. © Король

Всего записей: 5471 | Зарегистр. 16-04-2002 | Отправлено: 14:55 17-09-2010
Dominion



Тыг-дым, тыг-дым
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Блин трабла осталась Может кто сможет помочь и как то проверить нет ли дыр.
http://cbl.abuseat.org/lookup.cgi?ip=88.204.153.34&.submit=Lookup
Вот тут пишет, на что ругается abuseat.


----------
Сегодня я буду кутить. Весело, добродушно, со всякими безобидными выходками. © Король

Всего записей: 5471 | Зарегистр. 16-04-2002 | Отправлено: 17:53 18-09-2010
FL0od13



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Dominion

Цитата:
Может кто сможет помочь и как то проверить нет ли дыр.

А причём здесь дыры? Тут только Вы сами себе сможете помочь.
Вам повезло, что cbl пишет что-то внятное:
Цитата:
This IP is infected (or NATting for a computer that is infected) with a spambot we have not yet been able to identify. For the time being we refer to it as the unknown0272 spambot.

Хоть понятно, куда копать. Закрывайте всем 25-й порт наружу. Пользователей выпускайте через внутренний релей с аутентификацией. Снифферите SMTP трафик внутри локалки и лечите выявленные хосты.

----------
Синхронизация контактов между доменами AD (Exchange). Самописная утиль. Тестирование...

Всего записей: 694 | Зарегистр. 04-03-2007 | Отправлено: 19:46 18-09-2010 | Исправлено: FL0od13, 19:47 18-09-2010
Koolyan



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Была такая  проблема ! так же стоит  каспер  но workstation, совет  проверяй  компы пользователей!

Всего записей: 264 | Зарегистр. 04-08-2006 | Отправлено: 19:01 25-09-2010
HETPE3BOE



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
мне помогла информация, приведенная в этой статье. возможно Вам пригодится
http://nettank.ru/2010/09/%D0%BE%D1%85%D0%BE%D1%82%D0%B0-%D0%BD%D0%B0-%D0%B2%D0%B8%D1%80%D1%83%D1%81%D1%8B-%D0%B2-%D1%81%D0%B5%D1%82%D0%B8/

Всего записей: 23 | Зарегистр. 01-04-2007 | Отправлено: 00:32 29-09-2010
yakostik

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FL0od13

Цитата:
Закрывайте всем 25-й порт наружу. Пользователей выпускайте через внутренний релей с аутентификацией

Полностью согласен сам только так работаю
на шлюзе резать всем 25 порт, и внутренний почтовик должен работать только с авторизацией.

Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 10:03 29-09-2010
Rouslan



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Чаще всего в блеклист попадают из за включенной по умолчанию опции пересылки почты (open SMTP relays).
 
Так или иначе, нужно выяснить причину бана на cbl.abuseat.org и устранить её.
После этого нужно запустить с этого же сайта тестирование вашего IP. Eсли тестирование пройдёт без нареканий - из бана уберут.

Всего записей: 338 | Зарегистр. 08-10-2004 | Отправлено: 12:30 29-09-2010
locoroco86



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cbl ругается. может у кого была такая проблема?
This IP is infected with, or is NATting for a machine infected with Win32/Dorkbot
 
This was detected by observing this IP attempting to make contact to a Win32/Dorkbot Command and Control server, with contents unique to Win32/Dorkbot C&C command protocols.
 
Win32/Dorkbot is a worm, and can travel to infect other computers via Instant Messaging, Twitter, Facebook and even USB drives.
 
Once installed, it gets involved with clickfraud, and can act as "ransomware" - locking the user out of their computer or encrypting the contents until the user pays a "ransom".

Всего записей: 44 | Зарегистр. 20-03-2015 | Отправлено: 06:32 23-10-2015
Ruza



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
This IP is infected with, or is NATting for a machine infected with Win32/Dorkbot  

А в чём вопрос то? Там всё понятно написано...
 
Найди вирус в сетке, прибей и спи спокойно. CBL автоматом разблокирует.

----------
Fools rush in where angels fear to tread.

Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 08:15 23-10-2015
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » IP поместили в блэклист http://cbl.abuseat.org


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru