>>как считал траффик?
>Значит, свою считалку я пока не поставил. А трафик считает мой провайдер,
>от него и беру данные.
>>поди у теб socks или suid открытый..
>Сквид вроде закрыт.. (в rc.firewall правила для него закоментирываны)
>Как правильно посмотреть открыты они или нет?
Все-таки рекомендую внимательно почитать конфиг сквида ( оно потом пригодится все равно.. Вдруг у тебя юсеры начнут кино качать:))
проверялок на открытость прокси много:
http://www.google.com/search?q=open+proxy+check&sourceid=opera&num=0&ie=utf-8&oe=utf-8
например зайди со сквида http://www.richard.zonnet.nl/cgi-bin/nph-proxycheck
Таким же примерно образом проверить можно и апач
(может стоит открытый socks proxy?)
Если есть время/желание разобраться глубже - почитай про метод
CONNECT. через прокси, поддерживающего CONNECT можно работать с любыми службами по протоколу tcp - в частности рассылать почту. squid CONNECT ессно, поддерживает, и если у тебя нет сообветствующих ACL в конфиге сквида (файролла часто недостаточно!!) вполне возможно что через тебя спамят (проверяй себя на dnsbl.org и т.д.). Это , кстати чревато попаданием в блок-лист (spews.org например) с невозможностью в дальнейшем отсылать нормальную почту некоторым адресатам. (будут приходить отлупы, дескать не принимаем почту от спаммеров)
99% что ты уже в блок-листе.. Если этот траффик - спам, конечно.
>>логи почитай сквида, maillog, httpd.
>логов сквида не нашел, маиллог смотрел - мало что понял ;) много
>там всего
>(подскажите на что внимание обращать следует)
обратить внимание на ненормальную активность (слишком много писем, почтовую очередь и т.п.)
сравнивай с логами за период, когда траффик был в норме.
>httpd-access.log посмотрел, вроде все нормально, куда не надо никто не лазил, тока
>в пределах моего сайта.
тема необьятная.. Уверен, что у тебя на сайте нет cgi приложений , допускающих отправку почты через форму без надлежаших проверок, например?
по поводу апача как прокси - читай про apache модуль mod_proxy.
>>пропустил что-то , товаришь
>>
>>что там у теб >-и еще по мелочи всего?
>еще
>samba
>mysql
>tacac
ну, прочитать про уязвимости в samba как минимум, убедиться, что коннект к ним возможен только из доверенной сети и оббновить софт до последней стабильной версии. (не забыть, что вредитель может находиться и в доверенной сети)
при настройке сетевых сервисов надо исходить что враги буквально все.
>>может httpd в режиме прокси?
>хм а как проверить?
>>
>>81.223.248 relay
>>
>>а еот это плохо совсем.
>>админ, который придет после теб поест проблем.
>это я уже убрал :)
>прописал тока нужные ип
Вообще же причин/лазеек может быть и более одной, так что нужно очень внимательно все изучить и не успокаиваться.. Статей по сетевой безопасности много, поищи, почитай.. Я бы рекомендовал найти для консультации специалиста, который посмотрел бы вашу сеть живьем, т.к. ситуация мягко говоря.. требует немедленного вмешательства.
можно обратиться к провайдеру, т.к. он весьма заинтересован в решении вопроса.
я бы рекомендовал озаботиться сквидом в первую очередь, наиболее вероятная дырка в твоем случае имхо. (меня смутило "Сквид вроде закрыт.. (в rc.firewall правила для него закоментирываны)" Т.е. никаких ограничений на коннект к сквиду сейчас нет?)
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
21-Дек-03, 14:02 (MSK)
