Problema
Capita sempre più di frequente che alcuni mail server finiscano in blacklist CBL a causa del malware Torpig attivo su qualche macchina della LAN. Uno dei metodi utilizzati dai siti di BlockList per il rilevamento nasce dall’osservazione delle connessioni dirette verso l’ip 64.27.3.4: nel caso in cui dall’ip del cliente partano più connessioni verso tale indirizzo ip si finisce in blacklist.
Sintomi
Se avete un NethService (Server e Gateway) o NethSecurity con proxy attivo potete cercare di individuare le macchine guardando i log di squid :
perl -p -e 's/^([0-9]*)/"[".localtime($1)."]"/e' \</var/log/squid/access.log | grep 64.27.3.4
Soluzione
Una volta individuati, i pc responsabili vanno scollegati dalla rete e ripuliti, nel frattempo potete bloccare tutte le connessioni verso l’ip incriminato agendo direttamente sui sistemi Nethesis in questo modo:
- Bloccate qualsiasi connessione all’ip su qualsiasi protocollo tramite il firewall di NethSecurity/NethService
- Se il il proxy http è attivo bloccate tutto il traffico verso l’ip 64.27.3.4 (da pannello web)
Su NethSecurity
E’ sufficiente creare una regola in gestione firewall e metterla in prima posizione
Su NethService
Per agire sul firewall di NethService bisogna utilizzare dei template-custom, fate riferimento a questo documento
https://docs.nethesis.it/Bloccare_porta_POP3
la regola da inserire nel frammento sarà questa:
/sbin/iptables --insert FORWARD -d 64.27.3.4 -j denylog