Trzepak.pl

Regulamin forum


Wypowiedzi muszą stosować się do zasad ogólnie przyjętej "netykiety" wynikającej z dokumentu RFC 1855, zamieszczonego pod tym adresem:
http://www.ietf.org/rfc/rfc1855.txt
Osoby wypowiadające się tu "zawodowo" proszone są o logowanie się swoim imieniem i nazwiskiem, a w stopce ich wypowiedzi wskazane jest przedstawienie danych adresowych łącznie z linkiem do strony głównej przedsiębiorstwa lub organizacji, którą reprezentują.
Umieszczanie informacji reklamowych w wypowiedzi i w stopce nie jest wskazane a moderatorzy mogą ingerować usuwając takie posty w sposób nie podlegający dyskusji.



Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: wt, 07 sie 2018 15:28:24 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
Jestem niedoświadczonym administratorem sieci, w której urządzeniem brzegowym jest Mikrotik hEX.
Frimware v6.42.6, pozmieniane hasła i dostęp do usług ograniczony tylko do zaufanych ip, w związku z ostatnio ujawnionymi dziurami.

Okazało się, że moje ip jest na blocklistach BLCSS i CBL. Znalazłem, że wychodzi mnóstwo ruchu na porcie 25. Sniffer pokazuje, że to typowe maile ze spamem na jakieś ruskie adresy.
Jednak pakiety są wysyłane z mojego ip zewnętrznego, z interfejsu podłączonego do internetu - nie z wewnątrz sieci lan.

Na ten moment ruch jest obcinany w firewallu na tej zasadzie:
Kod:
/ip firewall filter
add action=drop chain=output port=25 protocol=tcp


Tak to wygląda w snifferze, po wyłączeniu na chwilkę powyższej reguły:
Obrazek


Jak to rozumieć i co z tym zrobić?


Na górę
Post: śr, 08 sie 2018 9:11:37 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: śr, 24 kwie 2013 18:07:46
Posty: 1214
Lokalizacja: Myszków
Netinstall.

_________________
http://www.morawiec.info - taki tam sobie blog


Na górę
Post: śr, 08 sie 2018 11:24:57 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
Po wdrożeniu wyżej wymienionej reguły (zablokowaniu ruchu wyjściowego tcp na porcie 25) i odczekaniu doby, nie było nowych zgłoszeń do blocklist. I teraz uwaga - po usunięciu ip z blocklist ruch na porcie 25 ustał.

Oprogramowanie tak czy inaczej przeinstalowane przez Netinstall.


Na górę
Post: śr, 08 sie 2018 11:41:35 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
Poprzedni post oczekuje na moderacje... tak to bym edytował.

Niestety nie, ruch wcale nie ustał tylko się zdecydowanie zmniejszył.

Czyli po przeinstalowaniu Netinstallem, nadal bez zmian.

W dodatku Google blokuje ip i wywala captcha. Przerzuciłem ruch 80 i 443 na drugie ip i za chwilę na tamtym to samo.


Na górę
Post: czw, 09 sie 2018 22:23:10 
Odpowiedz z cytatem
Offline
Młodociany subskrybent
Młodociany subskrybent

Rejestracja: śr, 03 cze 2009 15:38:57
Posty: 293
Lokalizacja: Raszyn
A nie masz przypadkiem włączonego DNS na mikrotiku z zaznaczoną opcją "allow remote request" może twój mietek robi za dns dla spamerów. zablokuj odpowiedzi na porcie 53 tcp/udp dla interfejsu WAN

_________________
http://www.fiberzone.pl


Na górę
Post: pt, 10 sie 2018 8:50:18 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
O, dziękuję za poddanie słusznego tropu. Faktycznie mam opcję zaznaczoną.
Aby się przed tym zabezpieczyć dodałem teraz regułę:
Kod:
/ip firewall filter add action=drop chain=input protocol=udp dst-port=53 in-interface=ether1_WLAN log=yes log-prefix=dns-request


Włączyłem jeszcze logowanie na regule wycinającej ruch wyjściowy na porcie 25 i akurat pomiędzy tym spamem złapało się jedno zapytanie.
Obrazek

Ale tam powinien być MAC mojego interfejsu WLAN?
Poza tym przez 30 minut cisza a cały czas coś próbuje wychodzić na porcie 25 o-\


Na górę
Post: pt, 10 sie 2018 9:17:21 
Odpowiedz z cytatem
Offline
Młodociany subskrybent
Młodociany subskrybent

Rejestracja: śr, 03 cze 2009 15:38:57
Posty: 293
Lokalizacja: Raszyn
Regułka którą zacytowałeś to przykład? Czy twoim interfejsem WAN jest ethet1_WLAN?

Wyczyść jeszcze cache DNS, i sprawdź czy jakiś komp w sieci nie jest zasyfiony i nie wysyła spamu za pośrednictwem routera.

_________________
http://www.fiberzone.pl


Na górę
Post: pt, 10 sie 2018 9:38:49 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
W cytowanej regule zmieniłem nazwę interfejsu (i mi się niechcący "L" wcisnęło, miało być WAN- a tak to rozumiem, że budzi wątpliwości) - w routerze jest taka jak trzeba. Akurat nazwa wskazuje na providera.
Cache wyczyszczony, bez wpływu.
Gdyby to jakiś komputer wysyłał na porcie 25, to powinien się chyba łapać w łańcuchu FORWARD a nie OUTPUT?


Na górę
Post: pt, 10 sie 2018 11:25:13 
Odpowiedz z cytatem
Offline
Młodszy czytelnik
Młodszy czytelnik
Awatar użytkownika

Rejestracja: śr, 07 sty 2015 11:08:25
Posty: 92
Lokalizacja: Szczecin
GenPL pisze:
Gdyby to jakiś komputer wysyłał na porcie 25, to powinien się chyba łapać w łańcuchu FORWARD a nie OUTPUT?


Gdyby taki ruch był forwardowany przez router to tak, byłby w FORWARD.
Dodaj taką samą regułę na 25 port na INPUT.
Btw jaką reguła logujesz ten ruch na 25 - bo w logach same SYNy

Wysłane z mojego HTC One przy użyciu Tapatalka


Na górę
Post: pt, 10 sie 2018 11:42:51 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
BartQ pisze:
Gdyby taki ruch był forwardowany przez router to tak, byłby w FORWARD.

A mógł by być z komputera wewnątrz sieci a nie forwardowany przez router i wychodzić z jego interfejsu WAN?
BartQ pisze:
Dodaj taką samą regułę na 25 port na INPUT.

Nie obiecam, ale wydaje mi się, że próbowałem i nic tam się nie działo. Dodałem teraz i obserwuję czy coś wpadnie. Na razie na Output jak leciało tak leci a na Input cisza.
BartQ pisze:
Btw jaką reguła logujesz ten ruch na 25 - bo w logach same SYNy

W tej dropującej z pierwszego posta jest dodane logowanie.
Dlatego wszystkie są SYN, bo dropuje pierwszą próbę nawiązania połączenia z serwerem smtp? Nie chcę odblokowywać w celu sprawdzenia, bo znowu mi ip na blocklisty trafi.


Na górę
Post: pt, 10 sie 2018 11:54:08 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 346
Zobacz zakładkę system scripts i system scheduler. Może tam jest jakiś syf wrzucony.


Na górę
Post: pt, 10 sie 2018 11:55:30 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
Był, zgodnie z wszelkimi opisami ostatniej dziury w RouterOS.
Scheduler odpalał co 30s skrypt pobierający pusty plik .php

Ale już na samym początku został wywalony. Przed zgłoszeniem się do Was o pomoc.


Na górę
Post: pt, 10 sie 2018 12:09:07 
Odpowiedz z cytatem
Offline
Młodociany subskrybent
Młodociany subskrybent

Rejestracja: śr, 03 cze 2009 15:38:57
Posty: 293
Lokalizacja: Raszyn
zablokuj port 25 w łańcuchu INPUT. oraz FORWARD
Po za tym tak jak pisał "thekrzos" sprawdź pliki i skrypty czy coś nie siedzi.

_________________
http://www.fiberzone.pl


Na górę
Post: pt, 10 sie 2018 12:23:16 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
Obrazek

W plikach nic niewłaściwego, w skryptach pusto, blokowanie na INPUT i FORWARD nic nie wychwytuje, na OUTPUT cały czas leci.
Ale proszę sugerujcie co jeszcze można sprawdzić. Jak pisałem - jestem niezbyt doświadczony, sieć "odziedziczyłem" i na tyle co rozgryzłem RouterOS to sobie jakoś z wszystkim radziłem.

Aż do teraz, bo nie rozumiem skąd może się taki ruch brać.


Na górę
Post: pt, 10 sie 2018 12:41:47 
Odpowiedz z cytatem
Offline
Młodociany subskrybent
Młodociany subskrybent

Rejestracja: śr, 03 cze 2009 15:38:57
Posty: 293
Lokalizacja: Raszyn
Z tego screena wynika że nie dałeś w regułkach informacji gdzie maja być te porty 25 filtorwane, nie masz wskazanego interfejsu na którym ma się filtorowanie odbywać, i pamiętaj o tym że mikrotik reguły firewalla wykonuje po kolei, od najwyższej do samego dołu.

https://wiki.mikrotik.com/wiki/How_to_a ... MTP_output

tu masz fajnie opisane jak wyśledzić co wysyła spam po 25 porcie.

_________________
http://www.fiberzone.pl


Na górę
Post: pt, 10 sie 2018 12:48:43 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
Nie wskazałem interfejsu więc obowiązują na wszystkich, prawda?
A w użyciu są tylko dwa - jeden WAN i jeden z podpiętym switchem z siecią LAN.
Co zmieni dodanie do reguł któregoś z interfejsów?

Wskazane reguły, są jak widać niemal na samej górze (5,6,7). Ponad nimi nie ma nic co by miało wpływ na ich zadziałanie. Z resztą przesunięcie na samą górę na próbę, też nie zrobiło różnicy

waluszek pisze:
https://wiki.mikrotik.com/wiki/How_to_a ... MTP_output
tu masz fajnie opisane jak wyśledzić co wysyła spam po 25 porcie.

Ale u mnie w łańcuchu FORWARD nic nie leci na porcie 25!
Widziałem to, ale nie zdało egzaminu.
Tego nie ogarniam, że to wygląda jakby sam router się łączył z serwerami SMTP. Nie żaden komputer za routerem. Ale nie wiem jak to możliwe.


Na górę
Post: pt, 10 sie 2018 12:53:48 
Odpowiedz z cytatem
Offline
Młodociany subskrybent
Młodociany subskrybent

Rejestracja: śr, 03 cze 2009 15:38:57
Posty: 293
Lokalizacja: Raszyn
Zadałeś mi ćwieka, nie zastanawiałem się nad tym, ale mam jakieś niejasne przeczucie że kiedyś z tym walczyłem i to nie do końca tak jest, że jak nie wskażesz interfejsu to zadziała na wszystkich, wydaje mi się że jednak powinieneś wskazać interfejs na przez który którego ruch chcesz zablokować.

przejrzyj to
http://srijit.com/how-to-block-smtp-spa ... -mikrotik/

_________________
http://www.fiberzone.pl


Na górę
Post: pt, 10 sie 2018 13:36:27 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
Te wszystkie opisy bazują na tym, że to jakiś komputer z sieli lokalnej, za routerem wysyła spam. Nic mi to nie daje.

Odnośnie wyszczególnienia interfejsów, to wydaje mi się, że nie jest konieczne.
Na poniższym screenie widać, ze zadziałała reguła na łańcuchu FORWARD kiedy przy pomocy programu iperf chciałem wygenerować ruch na porcie 25 do innej sieci. Połączenie z nią to tunel IPsec, więc idzie przed interfejs WAN. Widać rozpoznane interfejsy IN i OUT
Obrazek

A spam który się łapie w OUTPUT interfejs "in" ma (unknown 0), bo go nie ma, skoro ruch pojawia się tylko w łańcuchu OUTPUT, czyli wychodzi z router.

Jak wyłączę na jednym routerze dropowanie portu 25 na FORWARD to się łapie na tym drugim na FORWARD.
Jak wygeneruję ruch na porcie 25 na adres mikrotika to się łapie na INPUT. Wtedy interfejs "out" jest (unknown 0), bo to nigdzie dalej nie idzie.

Żeby było ciekawiej to - TAK - w drugiej lokalizacji jest identyczny problem.

Sedno w tym, że ten ruch "wychodzi" z routera a nie "przechodzi" przez niego.
Chyba, że jest jakiś magiczny sposób, żeby on odbierał to w jakiś inny, nieblokowany sposób i starał się wysyłać. Ale to chyba właśnie jakiś skrypt by być musiał?

O, ten ruch wygląda identycznie, jak gdybym użył tools->email.
No prawie, bo wtedy dostaje jeszcze error timeout:
Obrazek

I jak przy braku obcych (jakichkolwiek w sumie) skryptów mogło by się to narzędzie uaktywniać?


Na górę
Post: pt, 10 sie 2018 16:38:18 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 346
O kurde... Robiłeś netinstall? Jeden router zostaw taki i zgłoś do mikrotika, daj im dostęp. Wygląda jak by jakiś syf w nim siedział i nie został usunięty.


Na górę
Post: pt, 10 sie 2018 22:28:22 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: wt, 07 sie 2018 15:07:50
Posty: 11
Na jednym robiłem netinstall.

---edit---
Przefiltrowałem dokładnie ruch na INPUT pod kątem tego co muszę akceptować a na koniec dałem drop całej reszty.
Dużo ruchu próbowało się dobijać do portu 4145.

Po zdropowaniu tego, mikrotik przestał próbować wysyłać na porcie 25.
Czyli coś z zewnątrz "kazało" mu tak robić?

Niestety google nadal wywala Captcha o-\
Wydaje mi się, ze router wysyła za dużo zapytań do DNSów. UDP port 53, wszystkie 3 skonfigurowane adresy (jeden od google). Wydaje, bo nie wiem ile to jest za dużo.
Ale wychodzi ok 3 pakietów na sekundę w łańcuchu OUT, protokole UDP i porcie 53.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 8 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest wt, 21 sie 2018 0:03:03

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl