Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» IP поместили в блэклист http://cbl.abuseat.org

Автор: door23
Дата сообщения: 01.04.2010 14:46
Всем привет!

Сегодня заметил, что не ушло 3 письма с нашего почтового сервера (MDaemon). В причине написано Client host [xxx.xxx.xxx.xxx] blocked using cbl.abuseat.org за рассылку спама.

Сетка 30 компов, 1 сервер.
Проверил KAV 2010 (новые базы) и CureIt - но ничего не нашел.

Заранее благодарен за советы..

Автор: FL0od13
Дата сообщения: 01.04.2010 15:14

Цитата:
[xxx.xxx.xxx.xxx]

Это Ваш внешний адрес?

Цитата:
Проверил KAV 2010 (новые базы) и CureIt - но ничего не нашел.

Проверили что?

Вообще варианта два:
1) Заражены компьютеры в сети, а так как открыт 25 порт - эти хосты спамят.
2) У Вас открыт анонимный релей.

Решения по 1-му пункту:
Закрыть всем 25-й порт наружу, кроме почтового сервера;
Установить заплатки на клиентских машинах и сервере;
Проверить на вирусы компы и сервер.

Решения по 2-му пункту:
Проверить внешний IP на открытый релей: http://www.aupads.org/test-relay.html
Автор: vlary
Дата сообщения: 01.04.2010 16:33

Цитата:
Вообще варианта два:
Вообще вариантов больше. Иногда в подобные списки попадают целиком сети класса С, а то и В. Все эти рбл, днсбл - любительские инициативы, не имеющие никакого официального статуса, поэтому используют их на свой страх и риск. Свяжитесь с теми, кому не дошла почта, и попросите, чтобы они вас занесли в белые списки. Если, конечно, не существует что либо из первых двух причин, о которых упомянул FL0od13

Автор: door23
Дата сообщения: 02.04.2010 05:24
Всем спасибо! Буду пробовать.
Автор: FL0od13
Дата сообщения: 02.04.2010 08:44
vlary
Если внимательно почитать про список http://cbl.abuseat.org, то можно заметить следующий комментарий:
Цитата:
The CBL only lists individual IPs, it NEVER lists ranges.

Это я к тому, что целой сетью попасть в этот список весьма затруднительно.
Целыми подсетями "банят" такие списки, как uceprotect.net.
А cbl.abuseat.org вполне "уважаемый" список, хотя, конечно все ошибаются. И утверждение "на свой страх и риск" верно.
door23
Посмотрите свой IP по другим спискам:
http://www.blacklistalert.org
http://www.dnsbl.info
P.S. Мои внешние IP, например, ни в один список не попадают .
Автор: Dominion
Дата сообщения: 17.09.2010 09:51
Пока искал причину, cbl занесли IP без возможности удаления(слишком часто удалял), со словами YOU MUST FIX THE PROBLEM FIRST! .
Проблему выявил, но как теперь удалить IP из списка.


Добавлено:
На какое мыло им можно поплакаться.


Добавлено:
Немного схитрил, нашёл заблокированный IP, взял ссылку на удаление из листа, изменил IP на свой и вуаля, из списка исключён
Надеюсь прокатит
Автор: FL0od13
Дата сообщения: 17.09.2010 10:55
Dominion

Цитата:
Проблему выявил

Что за причина была, если не секрет?

Цитата:
На какое мыло им можно поплакаться.

Мыло есть в факе - http://cbl.abuseat.org/faq.html (How do I contact the folks behind the CBL?):

Цитата:
Our email address is cbl@cbl.abuseat.org.
Автор: Dominion
Дата сообщения: 17.09.2010 11:48
FL0od13
Пока на шлюзе не поставил CommView, не нашёл бы корень зла в офисе. А так, Каспер(к сожалению он стоит) + ТроянРемувер не нашли ничего. Сейчас стоит cureit, уже чтук 20-ть накапал. Отправил помощника переписывать названия, буду смотреть какой гад меня так подставил.

Цитата:
Мыло есть в факе

Спсб, что-то всё перерыл и никак найти не мог.
Автор: FL0od13
Дата сообщения: 17.09.2010 11:55
Dominion

Цитата:
Пока на шлюзе не поставил CommView, не нашёл бы корень зла в офисе.

Аккуратнее с CommView. Его драйвер иногда приводит к BSODу. Недавно сам попал.

Цитата:
А так, Каспер(к сожалению он стоит) + ТроянРемувер не нашли ничего)

Являясь фанатом кошмарского, не могу не спросить... Какая версия винды и какой каспер?
Автор: Dominion
Дата сообщения: 17.09.2010 13:11
FL0od13

Цитата:
Являясь фанатом кошмарского, не могу не спросить... Какая версия винды и какой каспер?

SP3, Кошмар 2009.


Цитата:
Аккуратнее с CommView.

Ну он мне только нарушил работу тырнета, после ребута всё в норме
Автор: FL0od13
Дата сообщения: 17.09.2010 13:21
Dominion

Цитата:
SP3, Кошмар 2009.

Если вдруг ситуёвина повторится на другой машине, попробуйте заюзать корпоративного каспера: http://www.kaspersky.ru/productupdates?chapter=147083907 (с включённой самозащитой, паролем на удаление и т.п.).
Автор: Dominion
Дата сообщения: 17.09.2010 13:55
Чо-то мы нафлудили.

FL0od13
Денег нема, будь моя воля, я бы нортон поставил, он мне больше по душе
Автор: Dominion
Дата сообщения: 18.09.2010 16:53
Блин трабла осталась Может кто сможет помочь и как то проверить нет ли дыр.
http://cbl.abuseat.org/lookup.cgi?ip=88.204.153.34&.submit=Lookup
Вот тут пишет, на что ругается abuseat.
Автор: FL0od13
Дата сообщения: 18.09.2010 18:46
Dominion

Цитата:
Может кто сможет помочь и как то проверить нет ли дыр.

А причём здесь дыры? Тут только Вы сами себе сможете помочь.
Вам повезло, что cbl пишет что-то внятное:
Цитата:
This IP is infected (or NATting for a computer that is infected) with a spambot we have not yet been able to identify. For the time being we refer to it as the unknown0272 spambot.

Хоть понятно, куда копать. Закрывайте всем 25-й порт наружу. Пользователей выпускайте через внутренний релей с аутентификацией. Снифферите SMTP трафик внутри локалки и лечите выявленные хосты.
Автор: Koolyan
Дата сообщения: 25.09.2010 18:01
Была такая проблема ! так же стоит каспер но workstation, совет проверяй компы пользователей!
Автор: HETPE3BOE
Дата сообщения: 28.09.2010 23:32
мне помогла информация, приведенная в этой статье. возможно Вам пригодится
http://nettank.ru/2010/09/%D0%BE%D1%85%D0%BE%D1%82%D0%B0-%D0%BD%D0%B0-%D0%B2%D0%B8%D1%80%D1%83%D1%81%D1%8B-%D0%B2-%D1%81%D0%B5%D1%82%D0%B8/
Автор: yakostik
Дата сообщения: 29.09.2010 09:03
FL0od13

Цитата:
Закрывайте всем 25-й порт наружу. Пользователей выпускайте через внутренний релей с аутентификацией

Полностью согласен сам только так работаю
на шлюзе резать всем 25 порт, и внутренний почтовик должен работать только с авторизацией.
Автор: Rouslan
Дата сообщения: 29.09.2010 11:30
Чаще всего в блеклист попадают из за включенной по умолчанию опции пересылки почты (open SMTP relays).

Так или иначе, нужно выяснить причину бана на cbl.abuseat.org и устранить её.
После этого нужно запустить с этого же сайта тестирование вашего IP. Eсли тестирование пройдёт без нареканий - из бана уберут.
Автор: locoroco86
Дата сообщения: 23.10.2015 06:32
cbl ругается. может у кого была такая проблема?
This IP is infected with, or is NATting for a machine infected with Win32/Dorkbot

This was detected by observing this IP attempting to make contact to a Win32/Dorkbot Command and Control server, with contents unique to Win32/Dorkbot C&C command protocols.

Win32/Dorkbot is a worm, and can travel to infect other computers via Instant Messaging, Twitter, Facebook and even USB drives.

Once installed, it gets involved with clickfraud, and can act as "ransomware" - locking the user out of their computer or encrypting the contents until the user pays a "ransom".
Автор: Ruza
Дата сообщения: 23.10.2015 08:15

Цитата:
This IP is infected with, or is NATting for a machine infected with Win32/Dorkbot

А в чём вопрос то? Там всё понятно написано...

Найди вирус в сетке, прибей и спи спокойно. CBL автоматом разблокирует.
Автор: locoroco86
Дата сообщения: 23.10.2015 08:49

Цитата:
Найди вирус в сетке, прибей и спи спокойно.

В том то и вопрос как найти инфицированую машину. У меня шлюз - это роутер. Как определить какая машина заражена?
Автор: Ruza
Дата сообщения: 23.10.2015 10:01
locoroco86

Если шлюз роутер то надо закрыть определённые порты (гуглить на тему Win32/Dorkbot)
и мониторить какая из ПК туда ломится.

Страницы: 1

Предыдущая тема: Почта от керио падает в спам...

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.