OpenForum RSS: Сервер CentOS заражен вирусом gozi? https://www.opennet.ru/openforum/vsluhforumID10/5414.html Есть выделенный сервер под CentOS 6 - Minimal.<br><br>Его IP оказался в черном списке CBL с формулировкой "This IP is infected with, or is NATting for a machine infected with s_gozi" (полный текст ниже) и многие почтовые серверы теперь блокируют с него почту.<br><br>Предлагаемые инструменты не подходят, т.к. они по Windows, т.к. gozi заточен под Windows.<br><br>Поддержка запустила антивирус, но он ничего не нашел.<br><br>Поддержка запустила: tcpdump -nnvvXS host 87.106.18.141(тогда CBL выдавало другой адрес) -w /root/traf.pcap -c 100000<br>но никаких обращений к 87.106.18.141 зафиксировано не было.<br><br>А CBL говорит что активность есть: "It was last detected at 2017-02-07 01:00 GMT "<br><br>Какие будут идеи?<br><br>Полный текст:<br><br>IP Address 1.1.1.1 is listed in the CBL. It shows signs of being infected with a spam sending trojan, malicious link or some other form of botnet.<br><br>It was last detected at 2017-02-07 01:00 GMT (+/- 30 minutes), approximately 8 hours ago.<br><br>It has been relisted following a previous removal at 2017-01-20 17 Сервер CentOS заражен вирусом gozi? (PavelR) https://www.opennet.ru/openforum/vsluhforumID10/5414.html#1 Tue, 07 Feb 2017 16:37:22 GMT &gt;[оверквотинг удален]<br>&gt; почту.<br>&gt; Предлагаемые инструменты не подходят, т.к. они по Windows, т.к. gozi заточен под <br>&gt; Windows.<br>&gt; Поддержка запустила антивирус, но он ничего не нашел.<br>&gt; Поддержка запустила: tcpdump -nnvvXS host 87.106.18.141(тогда CBL выдавало другой адрес) <br>&gt; -w /root/traf.pcap -c 100000 <br>&gt; но никаких обращений к 87.106.18.141 зафиксировано не было.<br>&gt; А CBL говорит что активность есть: "It was last detected at 2017-02-07 <br>&gt; 01:00 GMT " <br>&gt; Какие будут идеи?<br><br>1) Вы от записи трафика какой эффект ожидали получить?<br>Допустим, в трафике есть такие запросы. Что дальше?<br><br>2) Т.к. адреса меняются, надо писать весь трафик на указанные порты, а не один айпи.<br>Потом по результатам обновления страницы CBL можно сделать поиск в записанном трафике.<br>