pc con virus

Imagen de angeles

Forums: 

cuando haces nat, para que tus usuarios de la red interna salgan a internet y el nat no bloquea el puerto 25 saliente, cómo es que se da el proceso de que las pc que están contaminadas con virus empiencen a enviar mails spam y virus?

Hay alguna herramienta en especial que me diagnostique que en las pc hay virus u otras cosas que están causando que las pc envíen mails directamente desde ellas?

Pueden explicarme esto.

Gracias

Usas iptables?, cómo sabemos

Imagen de Monkito

Usas iptables?, cómo sabemos que el nat no se efectúa sobre el puerto 25/tcp?, lo mejor sería bloquearlo en el forward,

iptables -t filter -A FORWARD -p tcp --dport 25 -j DROP

Si realmente no haces nat al puerto 25 podría otro equipo en un nivel superior estarlo haciendo, aunque para que sea posible deben haber rutas bien definidas.

------------
counter.li.org

Cogito Ergo Sum

Hay muchas formas de detectar maquinas infectadas que usan

Imagen de juandarcy2000

El puerto 25 tcp, primero para detener eso es bloquear el puerto 25 a todos los equipos en tu red, solo si tienes un servidor de correos bien configurado debe estar excluido de esa regla ya que seria afectado tambien,
Segundo una vez bloqueado el puerto si tienes usuarios con windows pues es duro el trabajo ya que debes adquirir antivirus para todas si no sera dificil controlar infecciones futuras aunque con la primer opcion ya controlas el problema de spam.
Usar un analizador de trafico como iptraf, wireshark, y herramientas que vienen incluidas en los SO como netstat,
Espero que esto te de una idea de como atacar el problema.

Saludos

Si tengo un servidor de

Imagen de angeles

Si tengo un servidor de correo interno. Este viernes por la madrugada se realizó un envío masio de spam desde una cuenta interna, al parecer esta fue hackeada de alguna manera capturaron la clave y el usuario de este empleado y desde ahi empezaron a mandar spam provocando que nos listaran como servidor spam aun estamos en una black list en uceprotect.

En los block anteriores lei que desde las pc infectadas se podian enviar correos spam, por eso era la consulta de como se lograba hacer eso.

Gracias

iamlpreciosa

Seguridad es lo principal.

Imagen de juandarcy2000

Para evitar ser atacado desde adentro o afuera es vital tener bien configurado tu servidor, primero no ser open relay desde lan e internet, segundo manejar cuentas con claves bien elavoradas, hacer un rate control desde tu lan manejar sistemas anti spam y un firewall bien elavorado. Eso es lo principal para la salud de un servidor y evitar caer en blacklist.

Saludos a todos mis amigos de ecualug me habia ausentado del sitio ecualug que bello es ver que este foro sigue creciendo.

Desde Managua,Nicaragua un gran abrazo.

Pd. Deberian habilitar alguna funcion para ver colegas de paises quisiera saber cuantas personas pertenecen a nicaragua.

Hola juandarcy,

Imagen de angeles

Hola juandarcy,

Nosotros usamos claves seguras mínimo 10 caracteres entre ellos se deben combinar números, símbolos, mayúsculas, minúsculas. Trabajamos con anti spam y firewall.

No entiendo la parte de hacer rate control desde la lan. Cómo se hace esto. Y cómo puedo evitar ser open relay desde lan e internet, puedes explicar un poco al respecto, más la parte de open relay desde lan.

Saludos

iamlpreciosa

Un poco de lectura

Imagen de juandarcy2000

Tan facil como poner open relay en google
http://es.m.wikipedia.org/wiki/Open_Relay

Bueno con la informacion que nos brindas es dificil ayudar, primero que tipo de MTA usas tus MUA son software o web asi como un servidor de correo hay miles sendmail postfix etc mas info mejor ayuda ademas que dicen los logs como determina que fue robo de claves si tus claves tienen 10 caracteres eso no me indica que sean seguras logs muestra los logs para saber como determinastes que te hackearon.