skip to Main Content

Problema

Capita sempre più di frequente che alcuni mail server finiscano in blacklist CBL a causa del malware Torpig attivo su qualche macchina della LAN. Uno dei metodi utilizzati dai siti di BlockList per il rilevamento nasce dall’osservazione delle connessioni dirette verso l’ip 64.27.3.4: nel caso in cui dall’ip del cliente partano più connessioni verso tale indirizzo ip si finisce in blacklist.

Sintomi

Se avete un NethService (Server e Gateway) o NethSecurity con proxy attivo potete cercare di individuare le macchine guardando i log di squid :

perl -p -e 's/^([0-9]*)/"[".localtime($1)."]"/e' \</var/log/squid/access.log | grep 64.27.3.4

Soluzione

Una volta individuati, i pc responsabili vanno scollegati dalla rete e ripuliti, nel frattempo potete bloccare tutte le connessioni verso l’ip incriminato agendo direttamente sui sistemi Nethesis in questo modo:

  •  Bloccate qualsiasi connessione all’ip su qualsiasi protocollo tramite il firewall di NethSecurity/NethService
  • Se il il proxy http è attivo bloccate tutto il traffico verso l’ip 64.27.3.4 (da pannello web)

Su NethSecurity

E’ sufficiente creare una regola in gestione firewall e metterla in prima posizione

Su NethService

Per agire sul firewall di NethService bisogna utilizzare dei template-custom, fate riferimento a questo documento

https://docs.nethesis.it/Bloccare_porta_POP3

la regola da inserire nel frammento sarà questa:

/sbin/iptables --insert FORWARD -d 64.27.3.4 -j denylog

 

Davide Marini

Product Manager NethSecurity e NethHotspot

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back To Top