Salut,
Am o retea intr-o mica firma cu vreo 20 de calculatoare. In ultima
luna firma a fost listata de mai multe ori pe Spamhaus, care pretinde ca
a depistat conexiuni de la IP-ul nostru la un sinkhole pe portul 80. Pt
curiosi, Spamhaus zice ca adresa de sinkhole e 184.105.192.2, care
corespunde unui botnet controlat de la 'differentia.ru'. PC-urile
interne au antivirusi si update-uri la zi, nici unul nu spune nimic. In
momentul de fata cele 20 de PC-uri se conecteaza la internet printr-un
router TP-Link.
In reteaua interna exista si un server Linux care ofera servicii de
mail/web/etc pentru domeniul firmei. Ma gandesc sa pun Linuxul pe post
de router si sa incerc sa aflu care statie de lucru initiaza conexiuni
spre IP-ul mentionat de Spamhaus. Am nevoie de o sugestie referitor la
ce s-ar putea folosi pentru a monitoriza traficul prin router. Imi
trebuie ceva care sa inregistreze perechi de IP-uri sursa (interna) -
destinatie. As putea sa crosetez niste scripturi cu tcpdump sau
iptables, dar ma gandesc ca probabil exista deja ceva gata scris. Idei ?
Multumesc,
Mihai
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
