Spam no Modem da Rede

[pssgyn]

Galera, boa noite a todos.........
Estive vendo aqui no fórum, que alguém estava com problemas de spam na rede, mas ao que parece, a pessoa não retornou a mensagem, e fiquei sem saber que fim teve o problema desse usuário.
Estou com um problema chato e enjoado de resolver. De umas 2 semanas para cá, a nossa internet tem ficado lentíssima, fazendo com que os usuários reclamem.
Chamamos a BrasilTelecom, e o técnico que veio, apenas deu um telnet no ip do modem, e nos mostrou que o modem está infectado de spam, fazendo com que as seções no modem fiquem abarrotadas disso, e não permitindo assim o acesso dos usuários a net.
Segundo o técnico, o modem (Alcatel Speed Touch Pro), tem 254 seções. Mas como os spam's tomaram conta, as vezes chega a ter 247 seções ocupadas pelos spam's.
A minha pergunta é como o pessoal aqui que por acaso tenha passado por isso, resolveu esse problema ??? Existe alguma regra de iptables que evite isso ??? Como faço para limpar o modem dessa dor de cabeça que venho enfrentando na empresa ???
Já desligamos o modem/servidor e religamos, mas com o tempo os bichinhos voltam e tumultuam a net.
Já vacinamos a rede toda, mas infelizemente não temos anti-virus pago pela empresa. Nessa hora, empresários não conseguem ver o benefício de antí-virus e anti-spam pagos. Não querem gastar. E como apenas vacinamos as máquinas o problema está voltando novamente.
Agradeço a todos que puderem me dar alguma dica, para resolver esse problema ........ :toim: :toim: :toim:

[irado]

acho que há uma mentira deslavada em tudo isso. O spam precisa de uma porta 25 E DE UM SERVIDOR smtp funcionando (pra escutar nessa porta) como relay, para receber/enviar o spam. Um modem com porta 25? duvido. Em todo caso - vai que seja o ÚNICO modem do mundo nessa condição - experimente:

telnet ip_do_modem 25

se responder, chame o pessoal do guiness (ou qualquer outro) pra mostrar essa coisa absurda que vc TERIA aí.. vai ficar classificado junto com mula sem cabeça, bode de duas cabeças, ou outra aberração dessas.

Resumo: é mentira. O modem pode estar defeituoso. Mas que estão falando besteira, não há dúvidas.

ps: os modem costumam ter as portas 22 (ssh),23 (telnet) e 80 (http) "abertas". Alguns as 20 e 21 (ftp). Dessas todas, as (normalmente) disponíveis resumen-se às 23 e 80.

:twisted:

[pssgyn]

Irado, boa tarde meu caro ...........
Obrigado pela resposta. No nosso caso, esse servidor que tem o firewall e o squid, foi instalado a cerca de 3 anos atrás por empresa de terceiros. Estou tentando instalar um outro servidor, com uma distro mais atual. A que usamos é o Conectiva 8, que por sinal até aqui não temos do que reclamar.
Só que essa empresa quando resolveu instalar esse servidor, eles solicitaram a BrasilTelecom que deixasse todas as portas do modem abertas. Ou seja, quem barra isso ou aquilo outro é o firewall.
Mas a nossa rede era excelente, com um acesso rápido a internet. Pegamos a cerca de 1 semana atrás, um anti-virus trial por sinal excelente. Vacinamos todas as máquinas (cerca de 65 a 70 pcs) e voltou a ficar legal. Mas como já disse, a empresa alega falta de verba para investir em anti-virus ou anti-spam. Aí meu caro, está voltando toda a bagunça novamente.
Pelo jeito vamos ter que nos virar com o que temos.
Um abraço meu caro .... valeus .... :good:

[felco]

Esses modems ADSL são fracos é o técnico provavelmente não sabe oque ta dizendo... mas oque você deveria fazer é habilitar um Firewall no modem a limitação tem que ocorrer lá porque se passar do seu modem concerteza teu Linux não vai poder fazer muita coisa pelo seu modem.

[felco]

Aqui eu tenho um Parks 642 é quando cheguei aqui tinha esse problema de lentidão, oque eu fiz foi habilitar o Firewall no maximo no modem eh mandar ele fazer um NAT pra tudo direto pro meu Firewall, melhorou muito...

[pssgyn]

Felco, boa noite e obrigado pela sua participação.
Desculpe-me te incomodar, mas como eu faço para habilitar o firewall no modem ???
A gente fica acompanhando o trafégo da internet pelo iptraf e na parte de baixo do iptraf fica um trafégo totalmente louco de determinados ip's.
Confesso que meus conhecimentos de firewall, regras de iptables ainda não são lá muita coisa.
Tenho procurado ler, ler e aprender com as dicas que passam aqui. Inclusive imprimi o material excelente sobre iptables no guia focalinux, por sugestão daqui do fórum.
Mas entre entender de fato e aplicar as regras de firewall, vai uma distanciazinha quilométrica.
Por isso, se não for incomodar muito, gostaria que me explicasse, como faço para aplicar o firewall no modem.
Que é um saco você dar um telnet no modem e ver o dito cujo abarrotado de maluquices, e sua internet levando um tempão para abrir uma determinada página, é uma tortura mesmo. E o mais chato ainda é ficar ouvindo reclamações dos usuários o dia inteiro.
Mas, valeu amigo ... um grande abraço ..... :good: :clap: :good:

[gsiena]

acho q a definição correta nao seria spam, e sim spyware... ou os dois juntos.
mas é matematicamente IMPOSSIVEL o modem ser infectado, como disse o tecnico da BrT... na verdade oq ta acontecendo é um saturamento de link por causa dos virus/spam/spyware que estao hospedados nas maquinas da rede. Nao da pra fazer muita coisa via iptables, a nao ser q bloqueie portas importantes como a 25.
aconselho usar o software TcpView (http://www.sysinternals.com/Files/TcpView.zip) nas maquinas da rede pra ver quais aplicativos estao abrindo quais portas q com quais destinos... se nao for uma porta critica como a 25 ou 80, bloqueia ela no firewall...
ja tive um problema desse, um virus dos "bravos" tava enviando inumeras conexoes pra internet na porta 445... bloqueei essa porta no firewall e deu uma boa melhorada, mas nada melhor q um antivirus e um antispyware nas maquinas. e o mais importante:
muita atenção dos usuarios ao conteudo que acessam... prevenção ainda é o melhor remedio
Espero ter ajudado...
GabrieL

[pssgyn]

Gsiena, boa noite .....
É como eu mencionei. Viramos uma noite na empresa para podermos vacinar todas as máquinas que acessam a rede.
Íamos de pc em pc instalando software anti-virus e anti-spy, e tirando todas as máquinas da rede. Sómente após a última ser vacinada, é que voltamos a religar as máquinas.
Mas aí está o problema. Assim que religamos, estava tudo normal novamente. Mas esbarramos na alegação de falta de verba da empresa para investir em softwares anti-virus e anti-spy.
Conclusão : o que instalamos e vacinamos eram softwares versão trial. E como o prazo está terminado, também o software como não está sendo atualizado, não tem mais efeito.
E estamos novamente assistindo a invasão de spywares na rede.
Mais chato ainda, é você mostrar para o próprio dono da empresa que a máquina dele estava com 26 vírus e 11 spy's. Teve outra máquina de usuário que tinha, pasme, 58 vírus e 27 spywares. É mole ???
O cara olha para a tua cara, todo sem graça. Mas .......
Fica o dito pelo não dito .........
Mas valeu, pelas suas dicas. Obrigado .....

:good:

[cerealkiller]

Estou com um problema assim.
Muitos ips têm se conectado ao meu squid e através dele estão mandando spam. Vi isso através dos relatórios do sarg.
Tenho uma acl rede onde coloquei o range de ip da rede interna e liberei. Depois eu nego o acesso a all.
Mas isso não adiantou, tenho tentando de tudo, inclusive bloqueei o input na porta 25, mesmo não tendo esta porta aberta no meu micro. Também tranquei o forward pra porta 25 onde a source não seja a rede local.
Mas mesmo assim, quando eu vejo o access.log, tem muitas conexões dos spammers.
Ex.:
80.25.222.160 - - [11/Aug/2005:22:30:29 -0300] "CONNECT 65.54.190.50:25 HTTP/1.0" 403 1319 TCP_DENIED:NONE
67.49.33.57 - - [11/Aug/2005:22:30:29 -0300] "CONNECT mx.inode.at:25 HTTP/1.0" 403 1317 TCP_DENIED:NONE
80.25.222.160 - - [11/Aug/2005:22:30:31 -0300] "CONNECT 65.54.190.50:25 HTTP/1.0" 403 1319 TCP_DENIED:NONE
172.200.89.144 - - [11/Aug/2005:22:30:31 -0300] "CONNECT b.mx.voyager.net:25 HTTP/1.0" 403 1327 TCP_DENIED:NONE

O squid tem negado, pelo que eu vi. Mas eu queria que isso não fosse necessário, e ele não fosse ativado pra ser acessado de fora.
Rodei um iptraf e vi que todo o tráfego vem pela placa externa, então não pode ser algum spyware ou micro interno jogando essa sujeira.

Agradeço a sua ajuda, obrigado.

[irado]

a pergunta que não quer calar: "por quê não abriu um tópico próprio pra isso?"

bem, mano, é o seguinte, vamos pela lógica: o contato do spamer vem lá da casa do chapéu (não importa de onde) e VAI chegar à sua ligação e ser rejeitado pela SUA máquina. Ou seja, não importa o que vc faça, é a SUA máquina que vai fazer todo o trabalho e é o SEU link que vai estar sendo ocupado pelas tentativas de conexão. Sendo múltiplos ip-addr, nem adianta pedir rejeição no roteador de borda.

Em sintese: não há mais o que vc possa fazer. Exceto nos esclarecer o significado desta sua frase: "Muitos ips têm se conectado ao meu squid e através dele estão mandando spam."

Há uma diferença ligeira entre scaneamento de rede com tentativas de conexão (para fins de spam) e "mandando spam através do meu link".

:twisted:

[cerealkiller]

Olá, depois de garimpar a internet e não encontrar nada, consegui solucionar o meu problema.
Bastou eu bloquear o input na porta 3128 onde o source não fosse rede interna.
Coloquei essa dica aqui, https://under-linux.org/noticia5361.html

PS. Quando disse que existiam vários ips se conectando ao meu squid foi porque no access.log estava listado cerca de 50 ips ou hosts acessando endereços na porta 25.
E sobre a outra pergunta, não sei por que não criei outro tópico.. hehe.

[]

[mbyte]

olá amigo, veja se te ajuda a configurar o firewall do seu modem:

http://www.abusar.org/manuais/m_alcatel.html


http://www.portaladsl.com.br/modules...howpage&pid=10


até +

[felco]

Felco, boa noite e obrigado pela sua participação.
Desculpe-me te incomodar, mas como eu faço para habilitar o firewall no modem ???
A gente fica acompanhando o trafégo da internet pelo iptraf e na parte de baixo do iptraf fica um trafégo totalmente louco de determinados ip's.
Confesso que meus conhecimentos de firewall, regras de iptables ainda não são lá muita coisa.
Tenho procurado ler, ler e aprender com as dicas que passam aqui. Inclusive imprimi o material excelente sobre iptables no guia focalinux, por sugestão daqui do fórum.
Mas entre entender de fato e aplicar as regras de firewall, vai uma distanciazinha quilométrica.
Por isso, se não for incomodar muito, gostaria que me explicasse, como faço para aplicar o firewall no modem.
Que é um saco você dar um telnet no modem e ver o dito cujo abarrotado de maluquices, e sua internet levando um tempão para abrir uma determinada página, é uma tortura mesmo. E o mais chato ainda é ficar ouvindo reclamações dos usuários o dia inteiro.
Mas, valeu amigo ... um grande abraço ..... :good: :clap: :good:

[felco]

Felco, boa noite e obrigado pela sua participação.
Desculpe-me te incomodar, mas como eu faço para habilitar o firewall no modem ???
A gente fica acompanhando o trafégo da internet pelo iptraf e na parte de baixo do iptraf fica um trafégo totalmente louco de determinados ip's.
Confesso que meus conhecimentos de firewall, regras de iptables ainda não são lá muita coisa.
Tenho procurado ler, ler e aprender com as dicas que passam aqui. Inclusive imprimi o material excelente sobre iptables no guia focalinux, por sugestão daqui do fórum.
Mas entre entender de fato e aplicar as regras de firewall, vai uma distanciazinha quilométrica.
Por isso, se não for incomodar muito, gostaria que me explicasse, como faço para aplicar o firewall no modem.
Que é um saco você dar um telnet no modem e ver o dito cujo abarrotado de maluquices, e sua internet levando um tempão para abrir uma determinada página, é uma tortura mesmo. E o mais chato ainda é ficar ouvindo reclamações dos usuários o dia inteiro.
Mas, valeu amigo ... um grande abraço ..... :good: :clap: :good:

Bom eu vi que postaram o link do abusar ai em cima, lá voce pode encontrar como ativar o firewall no seu modem. Isso é importante, mas se voce so habilitar o firewall pode ser que nao consiga usar seu link como antes, eu fiz um NAT estatico do IP do modem para o IP do Firewall Linux, isso no modem Parks mas seu modem talvez nao tenha essa opcao(NAT).
Alem disso, voce tambem deve criar um ruleset(Regras do iptables em sequencia lógica) para seu Firewall ser no minimo eficaz, oque agente normalmente sugere aqui, é que para iniciantes é complicado, é fazer aplicar politicas de DROP nas chains INPUT e FORWARD e liberar oque é importante.
Veja se a chain INPUT tiver polica DROP mas voce nao tiver nenhum servico nela(Web server, BD, Squid, Mails, etc...) nao vai afetar em nada o acesso Internet da sua rede, sim eles usarão sem problemas, mas voce no minimo tera que abrir a porta 22 TCP na chain INPUT... certamente voce quer acessar seu Firewall remotamente
Já na chain FORWARD existem algumas coisa importantes pra se liberar...
Em um ruleset simples voce vai trabalhar em saida e entrada sem mexer com flags TCP que complicam mais a contrução do ruleset, alguns servicos voce nao pode esquecer...
25 TCP -> SMTP(Envio de e-mail)
53 UDP -> DNS(Consulta de nomes de dominio)
80 TCP -> WWW(Paginas Web ou HTTP)
110 TCP -> POP3(Recebimento de e-mail)

São servicos que certamente as pessoas na sua rede iram precisar.
Posso te dar um exemplo de como construir uma regra no FORWARD bem simples:

# A ida
iptables -A FORWARD -s 192.168.0.0/24 -p UDP --dport 53 -j ACCEPT
# A volta
iptables -A FORWARD -d 192.168.0.0/24 -p UDP --sport 53 -j ACCEPT

Repara que eu fiz uma regra com --dport e outra com --sport isso garante que o usuario envie e receba de volta a informacao.
Voce deve construir suas regras no FORWARD tendo isso em mente que a resposta do servidor irá voltar pelo mesmo caminho.
Outro ponto importante é voce nao criar uma regra e depois criar outra que contra-diga a primeira. Assim:

# Bloqueia qualquer pacote ICMP
iptables -A FORWARD -p ICMP -j DROP
# Aceita ping
iptables -A FORWARD -p ICMP --icmp-type 3 -j ACCEPT

Entendeu? Se voce DROP oque é ICMP e na sequencia libera um tipo especifico de resposta ICMP nao adianta, porque tudo oque e ICMP ja foi bloqueado antes...
O iptables le chain por chain... e em cada chain ele le as regras na sequencia em que foram adicionadas, entao voce tem que ter isso em mente na hora de contruir seu ruleset, sequencia.
Qualquer coisa posta denovo, nem sei se era isso realmente que voce precisava...

[pssgyn]

Galera do Underlinux, valeuuuuuuuuussssssssssssss......
Eu vou testar esse comando iptables na porta 3128 como mencionado.
Nossa, vocês não sabem o terror que estou enfrentando da diretoria da empresa sobre isso .
A gente fala que o negócio é virus, spam na rede, mas o diretor presidente nos fala para nos virarmos .......... e........ ferro no CPD.
Infelizmente é assim. Vocês que fazem parte da informática em várias empresas sabem disso. Ninguém quer investir em segurança. Afinal, significa DINHEIRO. E empresário quando fala-se em dinheiro, é UMA ENCRENCA.
Mas vou tentar esse comando iptables na porta 3128. E espero sinceramente acabar com isso.
A nossa internet é de 1.5 MB e está lentíssima. A gente entra no modem e tem lá trocentas seções ocupadas por spam. É uma doideira mesmo. A minha ADSL de casa que é de 300 Kbps é extremamente mais rápida que na empresa.
Mas vou tentar o que sugeriram.
Um grande abraço a todos. O que seríamos de nós sem o Underlinux ????????
Nada ........nadaaaaaaaa........nadaaaaaaaaaaaa
Brigadão galera !!!!!!!!!!!!
Que Deus abençõe nós todos !!!!!!
:good: :good: :good:

[pssgyn]

Irado, boa noite .......
Eu não sei se esse tema era para colocar num tópico a parte.
Sei que muita gente aqui já passou por isso. E nem sempre é uma solução rápida. Pode ver que a mensagem que eu passei já tem alguns dias e parece que o pessoal aqui também tem enfrentado isso. E não é fácil amigo.
Não é nada agradável você ver uma internet funcionando perfeito e de repente como que do nada, a internet ficar lentíssima e sem nenhuma explicação aparente. Os sites de bancos então !!!!!! Não vai mesmo. Temos usuários que tivemos que instalar placa fax-modem, internet discada, para neguinho acessar separado. E tome críticas em cima do CPD.
Ficamos uma noite praticamente toda, vacinando todas as máquinas. E ficou legal. Mas como o anti-virus, anti-spam era versão trial, funcionou perfeito no começo. Mas depois, como não tinha atualização diária, virou uma porcaria. Cara, a gente dá um telnet no modem, tá uma verdadeira bagunça. Praticamente todas as seções do modem estão carregadas de conexões vindas da rede tentando conectar. Mas não se conectam. Apenas atrapalham o acesso do resto. A gente vê no Iptraf uma verdadeira guerra de acesso ao modem. E ninguém mais consegue acessar. É uma dor de cabeça nada legal.
E o dono acha que temos que nos virarmos. Nada de pagar.
Mas temos que enfrentar a encrenca né ?????
Um grande abraço Irado .......
:good: :good: :good:

[pssgyn]

Galera, boa tarde a todos do Underlinux ...
Estive um tempo fora do fórum, e somente agora estou retornando. Não tive tempo de testar o comando iptables como mencionaram aqui.
Hoje acessei o firewall que roda aqui na empresa, e coloquei o comando que explicaram para bloquear qualquer acesso a porta 3128, que não fosse da rede interna. Na nossa rede temos 3 placas no servidor firewall. Eth0 como externa, eth1 (192.168.1.1) e eth2 (192.168.50.1)

Nas regras do firewall coloquei assim :

/usr/sbin/iptables -A INPUT -p tcp ! -s 192.168.1.0/24 --dport 3128 -j REJECT
/usr/sbin/iptables -A INPUT -p tcp ! -s 192.168.50.0/24 --dport 3128 -j REJECT

Quando o script está sendo executado no momento em que passa pelo segundo comando aparece uma mensagem assim :

#iptables v1.2.4: Can't use -P with -A

O que seria isso galera ??? Obrigado a todos ..... :good: