Blacklist

[rolfkunst]

Beste mensen,

Het bedrijf waar ik voor werk staat sinds twee weken op een blacklist, de eerste keer hebben we onszelf er weer afgehaald, het kan een fout zijn of iets dergelijks, maar binnen 24 uur stonden we er weer op. Dus het zal toch echt wel zo zijn.

Maar nu dus de hamvraag: Waar komt het vandaan? Alle pc's zijn uitgerust met virusscanner, maar we kunnen niet goed controleren of ze allemaal up-to-date zijn.

Is er een netwerktool waarmee we verdacht verkeer kunnen monitoren? Dat we bijvoorbeeld sniffen op de lijn naar buiten om te kijken of er veel verkeer richting 1 IP adres gaat?

Ik dank jullie alvast vriendelijk voor het meedenken!

 

[RogerS]

Bij mxtoolbox.com kijken op welke blacklist je staat. Vervolgens doorklikken naar de desbetreffende blacklists. Deze geven meestal een redelijk duidelijke uitleg waarom je op de blacklist staat. Van daaruit kun je verder bepalen wat je te doen staat.

 

[dnties]

Welke blacklist het is vermeld je niet.
Ik neem aan dat je geblacklist bent vanwege spam.

Natuurlijk zou ik eerst bij de verschillende blacklists kijken waarom ik op die lijst ben beland. [Natuurlijk geen zekerheid dat dat concrete informatie oplevert die je direct duidelijk maakt waar het (echte) probleem vanuit je netwerk (concrete pc/laptopnaam, bijv.) vandaan komt.]

M.b.t. concrete oplossing: Eerste wat ik zou doen is de firewall zo inrichten dat alleen de mailserver op je netwerk op poort 25 naar buiten mag en dat alleen jouw mailserver mail mag afleveren. Pc's/laptops kunnen dan dus niet naar buiten op die poort.
Andere tip (na instellen tip van de vorige regel) is om anti-spam software te installeren (als plugin) in je mailserver (als dat nu nog niet het geval is). Verder het max. aantal extern geadresseerden per mail beperken binnen de mailserver naar (bijv.) 30.

Tijs.

 

[rolfkunst]

Beste mensen,

Bedankt voor jullie bericht,

We staan inmiddels op 5 lijsten: CBL, PSBL, SORBS SPAM, Spamhaus ZEN en WPBL

SMTP is het niet, want het gebeurd op poort 80. Waarschijnlijk een rootkit of iets dergelijks?

Bij ons kan alleen de mailserver mailen. De rest allemaal niet.

 

[dnties]

Dat zal dan poort 80 INKOMEND zijn!
Check alles wat voor de buitenwereld bereikbaar is op poort 80 inkomend op alle ip-adressen die jullie hebben.
Dus webservers, normaal gesproken.

Tijs.

 

[rolfkunst]

Beste Tijs,

We zijn inmiddels erachter dat het om het Torpig virus gaat, die verzend naar poort 80, het werkstation welke hem heeft is onderdeel van een botnet geworden hierdoor. Maar hoe kunnen we uitzoeken welk werkstation er verantwoordelijk voor is? Iedereen die internet gaat naar een extern adres op poort 80.. Dat is dus zoeken naar een speld in een hooiberg.

Inmiddels al 8 blacklists..

Bedankt voor het meedenken!

 

[dnties]

Enige waar ik aan kan denken is in je firewall alle poort 80 uitgaande verbindingen te monitoren/loggen.
Dan (afhankelijk hoe zelfstandig dat Torpig werkt) op elk werkstation uitsluitend een statische lokale webpagina openen (bijv. about:blank ) en verder niets doen.
Hopelijk zie je dan in de logging van de firewall terug welke ip-adressen daarna tóch naar buiten gaan op poort 80 en die dan onderwerpen aan verder onderzoek.

Tijs.

 

[RogerS]

Alle werkplekken voorzien van een vers image is vrees ik geen optie?

 

[rolfkunst]

We praten over honderden werkplekken.. Dus dat wordt lastig.. Maar we hebben het probleem weten te traceren. Het was een stageloper..

Gewoonweg monitoren op een destination port 80 en het netwerk zo rustig mogelijk houden. We hebben een bericht doen rondgaan om het internetten zo minimaal mogelijk te houden. En dat deed het hem. Het systeem is meteen uit de roulatie genomen. En de stagiair ook..

In elk geval erg bedankt voor het meedenken en het meewerken aan de oplossing.