Trojanske heste til at jage med et netværk bro sniffenden "Daniels Blog

20 Apr/10 2

Trojans at jage med et netværk bro sniffenden

For et par dage siden modtog jeg en opringning at bede om hjælp. Fra en corporate LAN med omkring 10 kunder, ikke længere kunne sendes e-mail. Alle meddelelser forbliver i køen til den lokale SMTP stak, bør de give det til en ekstern SMTP med udbyderen. En manuel telnet session til SMTP af din udbyder gav hurtigt at skabe klarhed: "Din IP er sortlistet i Spamcop.net 's Spam Database ". Ups. I første omgang troede intet ondt, og antog, at problemet er opstået på grund af uheld i løbet af den daglige ændring af IP-adressen for en ex-spammer var blevet tildelt. Efter en mauellen reset af routeren, at dette var en ny IP, blev problemet også løst (mindst tænkte jeg). De mails gik ud.

En dag senere: "Vi kan ikke sende mails mere" Åh nej, en arbejdsstation har en trojan. Den spammer er på LAN. Avira Workstation Pro kører på alle XP-klienter på LAN og har normalt fungerer pålideligt. Det er sandsynligvis noget gik galt.

For at finde ud af, hvem synderen, jeg snusede SMTP trafikken mellem DSL-router og LAN. Eftersom alle klienter knyttet til switche, passive lytning på samme kontakt med en klient ikke var mulig (dette er kun muligt med HUB). Så jeg har en Debian-box, 2 netværkskort og 2 switche bygget en ganske besværlig telefonaflytning. Det for mig var denne artikel på Heise netværk meget nyttig.

I sidste ende har bare for at snuse ledninger af computeren stemme, så må man
Netværksbro er oprettet:

De to netkort i computere var bro, for hele LAN trafikken også kunne strømme gennem pingvin. En Sniff med Wireshark på TCP/25 derefter hurtigt bragte løsningen. Inden for få sekunder, fyldt blev med Livelog SMTP forbindelser fra en LAN klient til eksterne SMTPs.

Synderen Jeg har været ved hjælp af Avira Rescue System startet. Den live CD har fundet en trojansk hest (TR / Trojan.GEN) kunne ikke slette den. Jeg har en inficeret fil (tilfældigt navn system32/drivers) fjernes derefter med en Ubuntu Live CD. Tilstrømningen af spam var stoppet. Jeg har ikke set et stykke tid, men jeg tror, at kunden igen er herre over sine sanser.

Jeg har tænkt mig at gange som en USB trådløs netværkskort får. Så alt går godt med den bærbare. Det ville være meget mere komfortabel næste gang

H-Bridge sniffer:

 apt-get install brctl

 ifconfig eth0 0.0.0.0 promisc-ARP-up
 ifconfig eth1 0.0.0.0 promisc-ARP-up
 br0 brctl addbr
 brctl addif br0 eth0
 brctl addif br0 eth1
 ifconfig br0 0.0.0.0-arp promisc up

Nyd denne artikel?

Overvej at abonnere på vores RSS feed!

Kommentarer (2) Trackbacks (0) (abonnere på kommentarer til dette indlæg)

Daniel
April 27, 2010
@ Voku: Nej, desværre ikke. I routeren kunne jeg ikke se mig leve trafik og trojanske heste ikke har spammet via den interne mail-server, men direkte til andre SMTP er tilsluttet på internettet.
Voku
April 27, 2010
ikke ville have bestået, hvis man ser på routeren eller e-mail-server-forbindelser og IP-adressen, der griber hele bygningen på port 25 forbindelser?

Efterlad en kommentar Annuller svar

Ingen trackbacks.

Vignette - legetøj kamera til Android »« Den Ubuntu 10,04 Lucid Lynx tapet er der

Om denne blog

Dette er primært Debian og hverdagen vanvid af en Linux-systemadministratorer. Jeg skriver ned løsninger på problemer, som jeg finder i mit arbejde og håber, at de og andre også være nyttige for mig selv som reference i fremtiden vil være.

Oversætter

Imprint

Daniel leje

Har du brug for professionel server, PHP, eller Asterisk hjælp fra Daniel? Kontakt mig her: Pixel Perfect Media DUSSELDORF

GENVEJE

Bash bedrager ark

Mail Server Cheat Sheet

Kategorier

Android (4)
Dette, og at (24)
Linux (39)
Ubuntu (28)
Vejen (7)