wreckerd
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Снова меня занесли в блэк-лист IP Address ххх.ххх.ххх.ххх is listed in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet. This IP is infected with, or is NATting for a machine infected with s_ranbyus Note: If you wish to look up this bot name via the web, remove the "s_" before you do your search. This was detected by observing this IP attempting to make contact to a s_ranbyus Command and Control server, with contents unique to s_ranbyus C&C command protocols. В керио стоит отправлять только из локальной сети https://yadi.sk/i/EsM4SZmP33YpYa Несмотря на это сегодня ночью например пришло такое письмо то информационное сообщение передано сервером Kerio MailServer 6.7.3, установленным на узле mail.optmedical.ru. Вложенное сообщение не прошло фильтр содержимого на сервере: From: <canon@mydomain.ru> To: <urist@mydomain.ru> To: <Makarova@mydomain.ru> Subject: Attached document Date: Thu, 15 Dec 2016 01:32:23 +0700 Неполадка: Обнаружен вирус Тип MIME: application/vnd.ms-word.document.macroEnabled.12 Имя файла: 4153_0008.docm Имя вируса: W97M/Downloader.brs Антивирус: McAfee Scanning Engine (8378/5.3.00) При этом пользователя canon у меня нет. В логах пишется, что отправляли извне, точнее пытались отправить [15/Dec/2016 00:02:17] Recv: Queue-ID: 58516d07-000000ec, Service: SMTP, From: <canon@mydomain.ru>, To: <gorbunov@mydomainl.ru>, Size: 37751, Sender-Host: 5.47.50.227 [15/Dec/2016 00:02:18] Sent: Queue-ID: 58516d07-000000ec, Recipient: <gorbunov@optmedical.ru>, Result: delivered, Status: 2.0.0 Как отловить заразу не могу понять. На почтовике кроме керио стоит касперский, но он тревог не бьет. |