Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Провайдер жалуется что от меня идёт СПАМ атака !? (http://forum.oszone.net/showthread.php?t=292755)

Skynet 19-12-2014 02:06 2445576
Провайдер жалуется что от меня идёт СПАМ атака !?
 
Доброго времени суток всем !

Помогите разобраться, неделю назад звонил мне мой провайдер и говорит что мол у меня вирус или взломали мой WiFi.
Маршрутизатор(рутер) : ASUS RT AC68U, за ним много чего. Но то что было выключено на момент жалоб я не буду описывать все устройства, смысла не вижу.
Дома работает комп под WinXP с доступом через Remote Desktop 24 часа в сутки, в основном просто TeamSpeak server. Как только мне позвонили я его выключил. Остался работать только NAS - Netgear RN104 и включался ещё нетбук на несколько часов. И второй нас DLink DNS-313, который в последнее время вообще в спящем режиме - хард остановливается через 4 минут неактивности и тишина пока к нему не обращатся.
Позвонили опять (я так понимаю что WinXP комп можно исключить раз он был выключен), нетбук целый день проверял через KAV, NOD32, malware bytes или как там его, абсолютно 0 вредносных объектов !
Гостевые сети на рутере отключены, думал WiFi, уже второй день и WiFi отключен. Жаловались опять.
Думал NAS пытается посылать системное сообщение о состоянии дисков - натроил там журналирование и при сбоях отсылать мне мейлы. СМАРТ есть нехороший на одоном из дисков. Проверил, но SMTP я вообще оказывается сбросил настройки чтобы ящик не забивало и отключил эту службу.
Ну Смарт телек что-ли спам рассылает или PS4 ??? Мне уже смешно ?

Как отследить что это такое ?????

Написал кажется в правильный раздел. Может кто ещё какие-то идеи подать ? Или может есть софт какой-то чтобы отследить трафик что идёт от моего рутер к провайдеру чтобы отловить что это посылает ?

Интернет подключение через PPPoE протокол.

Письмо из тех. службы провайдера :

Часть лога из мейл сервера, в которой видно, что клиент очень активно рассылает письма (спамит другими словами).
Кусок лог-файла ниже:

Код:
Dec 16 13:41:38 mail postfix/smtpd[88910]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:38 mail postfix/smtpd[88910]: warning: Connection rate limit exceeded: 40 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:38 mail postfix/smtpd[88910]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: warning: Connection rate limit exceeded: 41 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89062]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: warning: Connection rate limit exceeded: 42 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88913]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89060]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89060]: warning: Connection rate limit exceeded: 43 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89060]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88910]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88910]: warning: Connection rate limit exceeded: 44 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88910]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: warning: Connection rate limit exceeded: 45 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89062]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: warning: Connection rate limit exceeded: 46 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88913]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:49:37 mail postfix/anvil[82736]: statistics: max connection rate 46/60s for (smtp:89.235.201.158) at Dec 16 13:41:39

Sandor 19-12-2014 10:55 2445642
Здравствуйте!

Если подозреваете заражение, выполните инструкции и приложите лог:

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Skynet 19-12-2014 12:49 2445685
Sandor, спасибо, сейчас сделаю !
Файл 120321
Прикрепил

regist 21-12-2014 21:06 2446542
по этим логам ничего вирусного не заметил.

Skynet 23-12-2014 16:45 2447313
regist, вот и я ... не понимаю в чем проблема ... :(

iskander-k 23-12-2014 19:13 2447373
Программу Postfix удалите. Либо проверьте на каком из устройств она установлена, смартфон, телефон , планшет и т.д

По указанному логу программа почтовый агент постоянно проверяет почту.

Skynet 25-12-2014 23:51 2448322
iskander-k,
Цитата:
Цитата iskander-k
Программу Postfix удалите. »
да ни на каком устройстве я не использую её.

iskander-k 26-12-2014 22:22 2448771
Цитата:
Цитата Skynet
да ни на каком устройстве я не использую её. »
У вас интернет как раздается ? Роутер с WI-FI ? Установите пароль на вайфай.

Skynet 26-12-2014 23:18 2448790
iskander-k,
Цитата:
Цитата iskander-k
У вас интернет как раздается ? Роутер с WI-FI ? Установите пароль на вайфай. »
конечно есть пароль на ВайФай.


Время: 21:05.

Время: 21:05.
© OSzone.net 2001-