[Admins] Spamcop anfragen...

[Jogi Hofmueller]

Hi!

* Ivan Redi <office at ortlos.com> [2004-07-21 18:54]:
 
> 193.171.120.194 namens ORT-KO.mur.at ist unserer rechner: ORTLOS architects.
> oder besser gesagt unsere FIREWALL!!! eigenartige ist dass man von diesem
> rechner eigentlich
> kein mail verschicken kann weil sendmail noch sonst irgendein smtp prog
> jemals installiert war.

Die Tatsache das die firewall IP bei den SMTP Sessions als Absender
auftaucht legt einfach nahe, dass der connect von DAHINTER kommt. Ich
teile Deine Einschätzung, dass die firewall selber keine mails
verschickt. 100%ig kann das aber nie ausgeschlossen werden ...

> wir leiden schon einige tage unter dieser bösen attacke, und können uns
> eigentlich nicht helfen.
> alles probiert: die gesamte software upgedatet, sicherheits packete
> installiert, anti-virus check,
> neue firewall rules geschrieben, es hilft nichts.

Was zur Analyse sicher gut ist sind LOG targets in den iptables. Die
produzieren zwar meistens sehr sehr viele Logzeilen (ausser es gelingt,
sie sehr präzise zu formulieren), aber 'Anomalien' sind gut auffindbar.
Vor allem hast Du die Möglichkeit zu sehen, von welchem Rechner aus dem
LAN die Pakete kommen. Das können wir von aussen nicht machen.

> wir vermuten dass sich hier um ein gemeines ipspoof angriff handelt.

Halte ich für äusserst unwahrscheinlich, weil zu aufwendig. Ist aber nur
meine persönliche Meinung.

Gruss
j.
-- 
Jogi Hofmueller |*| ICQ: 284632332
         mur.at |*| Tel.: +43 316 821451 55
                |*| http://info.astrian.net/jargon/terms/h/hacker.html
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
Url : http://lists.mur.at/mailman/private/admins/attachments/20040722/17dbbc0a/attachment-0001.pgp