Spam Gendeng

{ Berbagi, Menulis, Dan Mengajar } Ilmu… » 7. Operating System » Spam Gendeng

September 1st, 2007 | Add a Comment

Spam emang sering bikin pusing kepala, buat admin jaringan mungkin penyakit web yang satu ini nggak bisa dianggap remeh, pas lagi enak-enaknya nyantai, tahu – tahu bandwidth di jaringan jalan dengan load yang lumayan tinggi, padahal beban penggunaan internet seperti biasanya tidak pernah seperti ini.

usut punya usut, setelah dilakukan checking di mesin server ternyata ada host dari negara lain (biasanya dari China, dan Korea),yang memanfaatkan mail server kita untuk me-relay spam – spam yang mereka kirim, kalo gak kelakuan para Hacker Gendeng ya siapa lagi ?, solusinya sebenarnya mudah, yaitu dengan melakukan blocking route terhadap network network penghasil spam (Spam Generator)

Langkah Pertama,

Pada langkah ini kita harus melakukan check dari sisi email server kita, lakukan parsing port 25 dengan melihat network – network yang memanfaatkan email server kita. Berikut ini saya contohkan hasil capture langkah pertama :

root@ptpn-xi:~# netstat -na | grep 25
tcp 0 1 203.201.172.67:36651 211.115.219.6:25 SYN_SENT
tcp 0 1 203.201.172.67:36638 211.233.54.231:25 SYN_SENT
tcp 0 1 203.201.172.67:36662 61.97.70.6:25 SYN_SENT
tcp 0 1 203.201.172.67:36661 61.97.70.6:25 SYN_SENT
tcp 0 1 203.201.172.67:36660 61.97.70.6:25 SYN_SENT
tcp 0 1 203.201.172.67:36659 61.97.70.6:25 SYN_SENT
tcp 1 7 203.201.172.67:36658 61.97.70.6:25 CLOSING

Dari informasi diatas dapat kita lihat bahwa mail server kita sedang diakses oleh host dengan IP 211.115.219.6 , 211.233.54.231 dst . Dua buah IP ini patut kita curigai, dia berasal dari mana ?

Langkah Kedua,

Setelah kita mengetahui IP yang kita curigai, saat-nya kita melakukan finger print, IP – IP ini milik siapa ?, sebenarnya kita bisa juga melihat IP – IP yang berfungsi sebagai spam host dengan melihat di Internet (alamat-nya loe cari sendiri yach) :???: , tp cara seperti ini saya anggap tidak efektif, karena bisa jadi host yang berfungsi sebagai spam host lagi terjangkit virus. That all… Okey Kembali ke topik,

Sekarang kita cari informasi terhadap IP ini, caranya klik alamat berikut ini http://www.dnsstuff.com/ atau ke tools nya langsung http://member.dnsstuff.com/pages/tools.php

Pilih ip tools, kemudian isi IP Information dengan IP yang dicurigai, perhatikan informasi yang didapatkan

Iptools

IP Information – 211.115.219.6

IP address: 211.115.219.6
Reverse DNS: [Unknown]
Reverse DNS authenticity: [Unknown]
ASN: 9848
ASN Name: GNGAS (GNG Networks)
IP range connectivity: 1
Registrar (per ASN): APNIC
Country (per IP registrar): KR [Korea-KR]
Country Currency: KRW [Korea (South) Won]
Country IP Range: 211.112.0.0 to 211.119.255.255
Country fraud profile: Normal
City (per outside source): Seoul, Kyonggi-Do
Country (per outside source): KR [Korea-KR]
Private (internal) IP? No
IP address registrar: whois.apnic.net
Known Proxy? No

Langkah ketiga,

Langkah berikutnya adalah langkah terakhir, yaitu melakukan blocking terhadap network spam host dari table routing server kita.

pada tulisan ini, saya simpan script blocking di /etc/init.d/reject-route

joe /etc/init.d/reject-route

#Sumber Spam

/sbin/route add -net 125.110.0.0/16 reject

/sbin/route add -net 211.218.200.0/24 reject

/sbin/route add -net 202.30.143.0/24 reject

/sbin/route add -net 211.115.80.0/24 reject

.:GoodLuck:.