Skynet
19-12-2014, 02:06
Доброго времени суток всем !
Помогите разобраться, неделю назад звонил мне мой провайдер и говорит что мол у меня вирус или взломали мой WiFi.
Маршрутизатор(рутер) : ASUS RT AC68U, за ним много чего. Но то что было выключено на момент жалоб я не буду описывать все устройства, смысла не вижу.
Дома работает комп под WinXP с доступом через Remote Desktop 24 часа в сутки, в основном просто TeamSpeak server. Как только мне позвонили я его выключил. Остался работать только NAS - Netgear RN104 и включался ещё нетбук на несколько часов. И второй нас DLink DNS-313, который в последнее время вообще в спящем режиме - хард остановливается через 4 минут неактивности и тишина пока к нему не обращатся.
Позвонили опять (я так понимаю что WinXP комп можно исключить раз он был выключен), нетбук целый день проверял через KAV, NOD32, malware bytes или как там его, абсолютно 0 вредносных объектов !
Гостевые сети на рутере отключены, думал WiFi, уже второй день и WiFi отключен. Жаловались опять.
Думал NAS пытается посылать системное сообщение о состоянии дисков - натроил там журналирование и при сбоях отсылать мне мейлы. СМАРТ есть нехороший на одоном из дисков. Проверил, но SMTP я вообще оказывается сбросил настройки чтобы ящик не забивало и отключил эту службу.
Ну Смарт телек что-ли спам рассылает или PS4 ??? Мне уже смешно ?
Как отследить что это такое ?????
Написал кажется в правильный раздел. Может кто ещё какие-то идеи подать ? Или может есть софт какой-то чтобы отследить трафик что идёт от моего рутер к провайдеру чтобы отловить что это посылает ?
Интернет подключение через PPPoE протокол.
Письмо из тех. службы провайдера :
Часть лога из мейл сервера, в которой видно, что клиент очень активно рассылает письма (спамит другими словами).
Кусок лог-файла ниже:
Dec 16 13:41:38 mail postfix/smtpd[88910]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:38 mail postfix/smtpd[88910]: warning: Connection rate limit exceeded: 40 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:38 mail postfix/smtpd[88910]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: warning: Connection rate limit exceeded: 41 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89062]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: warning: Connection rate limit exceeded: 42 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88913]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89060]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89060]: warning: Connection rate limit exceeded: 43 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89060]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88910]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88910]: warning: Connection rate limit exceeded: 44 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88910]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: warning: Connection rate limit exceeded: 45 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89062]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: warning: Connection rate limit exceeded: 46 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88913]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:49:37 mail postfix/anvil[82736]: statistics: max connection rate 46/60s for (smtp:89.235.201.158) at Dec 16 13:41:39
Помогите разобраться, неделю назад звонил мне мой провайдер и говорит что мол у меня вирус или взломали мой WiFi.
Маршрутизатор(рутер) : ASUS RT AC68U, за ним много чего. Но то что было выключено на момент жалоб я не буду описывать все устройства, смысла не вижу.
Дома работает комп под WinXP с доступом через Remote Desktop 24 часа в сутки, в основном просто TeamSpeak server. Как только мне позвонили я его выключил. Остался работать только NAS - Netgear RN104 и включался ещё нетбук на несколько часов. И второй нас DLink DNS-313, который в последнее время вообще в спящем режиме - хард остановливается через 4 минут неактивности и тишина пока к нему не обращатся.
Позвонили опять (я так понимаю что WinXP комп можно исключить раз он был выключен), нетбук целый день проверял через KAV, NOD32, malware bytes или как там его, абсолютно 0 вредносных объектов !
Гостевые сети на рутере отключены, думал WiFi, уже второй день и WiFi отключен. Жаловались опять.
Думал NAS пытается посылать системное сообщение о состоянии дисков - натроил там журналирование и при сбоях отсылать мне мейлы. СМАРТ есть нехороший на одоном из дисков. Проверил, но SMTP я вообще оказывается сбросил настройки чтобы ящик не забивало и отключил эту службу.
Ну Смарт телек что-ли спам рассылает или PS4 ??? Мне уже смешно ?
Как отследить что это такое ?????
Написал кажется в правильный раздел. Может кто ещё какие-то идеи подать ? Или может есть софт какой-то чтобы отследить трафик что идёт от моего рутер к провайдеру чтобы отловить что это посылает ?
Интернет подключение через PPPoE протокол.
Письмо из тех. службы провайдера :
Часть лога из мейл сервера, в которой видно, что клиент очень активно рассылает письма (спамит другими словами).
Кусок лог-файла ниже:
Dec 16 13:41:38 mail postfix/smtpd[88910]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:38 mail postfix/smtpd[88910]: warning: Connection rate limit exceeded: 40 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:38 mail postfix/smtpd[88910]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: warning: Connection rate limit exceeded: 41 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89062]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: warning: Connection rate limit exceeded: 42 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88913]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89060]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89060]: warning: Connection rate limit exceeded: 43 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89060]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88910]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88910]: warning: Connection rate limit exceeded: 44 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88910]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[89062]: warning: Connection rate limit exceeded: 45 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[89062]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: connect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:41:39 mail postfix/smtpd[88913]: warning: Connection rate limit exceeded: 46 from 89-235-201-158.saturn.infonet.ee[89.235.201.158] for service smtp
Dec 16 13:41:39 mail postfix/smtpd[88913]: disconnect from 89-235-201-158.saturn.infonet.ee[89.235.201.158]
Dec 16 13:49:37 mail postfix/anvil[82736]: statistics: max connection rate 46/60s for (smtp:89.235.201.158) at Dec 16 13:41:39