Автор Тема: попал в cbl (Прочитано 2302 раз)

DedMagarbI4 · « : 06 февраля 2017, 14:32:31 »

второй раз уже попал в cbl.
первый раз где то месяц назад и на той неделе повторно.
в общем сталкиваюсь с этой херней первый раз и чо думаю:

есть у меня значит эксчейндж, веб сервер (iis 7.5 джумла) и куча компов с доступом в инет по 80 порту.

значит эксчейндж глянул, что отправляли за последний месяц:

Код: [Выделить]

Get-MessageTrackingLog -EventId SEND -Start "12/01/2016 08:00:00" | select *,{$_.Recipients} | Export-Csv C:\nggtilog\sel3.csv -Encoding "Unicode"

правила файрвола перепроверил, действительно у всех 80 порт, но есть список исключений для фул доступа, по ним буду работать отдельно в каждом конкретном случае

меня гложит такая проблема, у сайта (админю не я) есть возможность отправки писем силами самой джумлы, ну там модуль какой то. так вот, по идее могли же ломануть сайт (как я понял джумла не особо свежая стоит) и с него отправить какого нить спама?
а если так, то в какие логи веб сервера стоит глянуть? сам я его трогать не хочу, будем совместно с админом сайта этого ковырять. на вирусню сайт проверили - говорит что все норм.

в общем понимаю что тут поток сознания, но блин первый раз с такой херней сталкиваюсь, и что то даже не знаю куда копать.

к слову файрвол стоит kerio control, копаю сейчас его логи.

Комментарий модератора 3. Запрещается создание явно тематических топиков под предлогом "все равно все здесь". Тем не менее, разрешено делать топики со ссылкой на тематические для привлечения внимания либо для неформального обсуждения.

shs · « **Ответ #1 :** 06 февраля 2017, 16:05:09 »

А можно разнести по разным ip- адресам постовый сервер и все остальное?

DedMagarbI4 · « **Ответ #2 :** 06 февраля 2017, 16:37:35 »

Цитата: shs от 06 февраля 2017, 16:34:45

А можно разнести по разным ip- адресам постовый сервер и все остальное?

гм. можно в принципе, у меня как раз 2 ip адреса имеются.
т.е. логика получается такая
почта на одно ip
сайт и серфинг инета на другом.

если взлом сайта или вири из сетки, то ip в базу cbl будет попадать не почтового сервера.

так получается? спс за идею!

shs · « **Ответ #3 :** 06 февраля 2017, 16:56:01 »

Цитата: DedMagarbI4 от 06 февраля 2017, 16:37:35

Цитата: shs от 06 февраля 2017, 16:34:45
А можно разнести по разным ip- адресам постовый сервер и все остальное?
гм. можно в принципе, у меня как раз 2 ip адреса имеются.
т.е. логика получается такая
почта на одно ip
сайт и серфинг инета на другом.

если взлом сайта или вири из сетки, то ip в базу cbl будет попадать не почтового сервера.

так получается? спс за идею!

Ну, да, именно так. Если где- кто-то, неконтролируемый тобой, чо-то схватит, то это никак не повлияет на хождение почты.

Ocume · « **Ответ #4 :** 07 февраля 2017, 12:19:33 »

Там же reason должен быть. Туда и смотри.

sdfsdf · « **Ответ #5 :** 07 февраля 2017, 14:25:47 »

Цитировать

меня гложит такая проблема, у сайта (админю не я) есть возможность отправки писем силами самой джумлы, ну там модуль какой то. так вот, по идее могли же ломануть сайт (как я понял джумла не особо свежая стоит) и с него отправить какого нить спама?

не особая свежая джумла здесь ключевое. да, могут вполне отправлять спам через cms, получив доступ к серверу.
обновить надо.

Цитировать

а если так, то в какие логи веб сервера стоит глянуть?

глянуть стоит в настройку логирования php тип такого https://romantelychko.com/blog/958/
еще погуглишь

Цитировать

на вирусню сайт проверили - говорит что все норм.

как чем проверяли?

DedMagarbI4 · « **Ответ #6 :** 08 февраля 2017, 14:18:19 »

ну по моему разобрался.
на шлюзе включил логирование пакетов по 25 порты.
логи показали, что установка соединений на внешние сервера по 25 порту идет с нашего веб сервера.
буду говорить с админом веб сервера.

Updated: 08 February 2017, 14:21:36

Цитата: sdfsdf от 08 февраля 2017, 14:18:21

как чем проверяли?

запускали касперского, который стоит на веб сервере.