Para cazar con un puente de troyanos sniffenden Net
Hace unos días recibí una llamada pidiendo ayuda. A partir de una LAN corporativa, con unos 10 clientes ya no podían ser enviados por e-mail. Todos los mensajes permanecen en la cola para el pegado SMTP local, deben pasar a un SMTP remoto con el proveedor. Una sesión de telnet con el manual de SMTP ISP traído claridad rápido: "Tu IP en una lista negra en Spamcop.net 's base de datos de correo no deseado ". Ups. Al principio pensé nada malo, y asumió que el problema ha surgido debido a la mala suerte durante el cambio de dirección IP a diario de un ex-spammer se le había asignado. Después de un reinicio del router Mauell que se trataba de una nueva dirección IP, el problema se resolvió también (o eso creía yo). El correo electrónico se apagó.
Un día más tarde: "No podemos enviar correos nunca más!" ¡Oh, no, una estación de trabajo tiene un troyano. El spammer se encuentra en la LAN. Avira Pro Workstation funciona con todos los clientes de XP en la LAN y tiene por lo general funciona de forma fiable. Esto es probablemente algo salió mal.
Para saber quién es el culpable, he olido el tráfico SMTP entre el router DSL y LAN. Dado que todos los clientes dependen de los interruptores, la escucha pasiva en el mismo conmutador con un cliente no era posible (esto es sólo con HUB). Por lo tanto, tengo una caja de Debian, NIC 2 y 2 interruptores construido un buen Wiretap engorroso. Esto para mí fue este artículo en las redes de Heise muy útil.
Al final, sólo el cableado de la máquina de votación oler, entonces hay que
Puente de red se crean:
Las dos tarjetas de red en los ordenadores han sido integrados a fin de que todo el tráfico LAN a Internet podría fluir a través de los pingüinos. Una aspiración con Wireshark en TCP/25 y rápidamente trajo la solución. En cuestión de segundos, se llenó de las conexiones SMTP Livelog de un cliente de LAN a fuentes externas de filtrado pasivo.
El culpable que he estado utilizando el sistema de rescate de Avira arrancado. El CD en vivo ha detectado un troyano (TR / Trojan.GEN) no pudo eliminar. Tengo el archivo infectado (nombre aleatorio en system32/drivers) luego se retira con un CD de Ubuntu Live. La afluencia de spam se había detenido. Todavía hay que ver de algún tiempo, pero creo que el cliente se vuelve dueño de sus sentidos.
Yo voy a veces como una tarjeta de red USB inalámbrico obtener. Entonces todo el proceso se inicia con el bloc de notas. Eso sería mucho más cómodo el tiempo siguiente
El puente de H-Sniffer:
apt-get install brctl ifconfig eth0 0.0.0.0 promisc arp-a ifconfig eth1 0.0.0.0 promisc arp-a br0 brctl addbr brctl addif br0 eth0 brctl addif br0 eth1 ifconfig br0 0.0.0.0-arp promisc hasta
Disfrute de este artículo?
Traductor
Huella
Daniel alquiler
Conexiones rápidas
Categorías
- Android (4)
- Esto y lo otro (23)
- Linux (39)
- Ubuntu (28)
- Unterwegs (7)
Archivo
Artículos recientes
- 5 plugins para mayor privacidad mientras se navega con Firefox
- Información de registro en línea en Dusseldorf hace mala impresión
- Tweet Neglector. Un pequeño script PHP para eliminar los tweets de Twitter de edad
- HOWTO: Rápido y sucio servidor DHCP y DNS cache con dnsmasq en Ubuntu
- Inalámbrica para Eee 1000H rt2860 en Ubuntu
- PHP Cheat Sheet
- Empresa Connect - Diviértete con las ventas de las telecomunicaciones
- XS palo W14 UMTS con Ubuntu
- 12 pasos para un Linux Apache MySQL PHP LAMP raíz del servidor web seguro
- Protección de servidores Linux con la lista negra de estafa / spam / Delito de Infiltrated.net
27 de abril 2010
@ Voku: No, por desgracia, no. En el router no podía verme en vivo el tráfico y el troyano no se ha difundido a través del servidor de correo interno, sino directamente a SMTP está conectado a través de Internet.
27 de abril 2010
¿no lo suficiente si se mira en el router o las conexiones del servidor de correo electrónico y la dirección IP, que agarra todo el edificio en el puerto 25 conexiones?