A cacciare con un ponte Trojan sniffenden netto
Pochi giorni fa ho ricevuto una telefonata per chiedere aiuto. Da una LAN aziendale con circa 10 clienti non potevano più essere inviate e-mail. Tutti i messaggi rimangono in coda per il bloccati SMTP locale, si dovrebbe passare ad un SMTP remoto con il provider. Una sessione telnet manuale per l'SMTP di ISP ha portato chiarezza rapida: "Il tuo IP è inserito nella lista nera Spamcop.net database 's Spam ". Ups. Inizialmente ho pensato alcun male, e presume che il problema è sorto a causa della sfortuna durante l'indirizzo IP cambia ogni giorno di un ex spammer era stato assegnato. Dopo un reset del router Mauell che questo era un nuovo IP, il problema è stato anche risolto (o almeno così pensavo). La mail si spense.
Un giorno dopo: "Non possiamo mandare messaggi più!" Oh no, una workstation è un Trojan. Lo spammer è sulla LAN. Avira Workstation Pro funziona su tutti i client XP della LAN e di solito funziona in modo affidabile. Questo è probabilmente qualcosa è andato storto.
Per scoprire chi è il colpevole, ho annusato il traffico SMTP tra il router DSL e LAN. Dal momento che tutti i client dipendono da interruttori, ascolto passivo sullo stesso switch con un cliente non è stato possibile (questo è solo con HUB). Pertanto, ho una casella di Debian, 2 schede di rete e 2 interruttori costruito un bel Wiretap ingombrante. Questo per me era questo articolo su reti Heise molto utile.
Alla fine, solo il cablaggio dei voti macchina annusare, allora si deve
Bridge di rete vengono creati:
Le due schede di rete nei computer sono stato colmato in modo che l'intero traffico Internet LAN può fluire attraverso il pinguino. Un annusata con Wireshark su TCP/25 poi rapidamente portato alla soluzione. In pochi secondi, è stato riempito con le connessioni SMTP Livelog da un client LAN per esterni filtraggio passivo.
Il colpevole ho usato il Rescue System Avira avviato. Il CD live ha rilevato un trojan (TR / Trojan.GEN) non poteva eliminarlo. Ho il file infetto (nome casuale in system32/drivers), poi rimosso con un Live CD di Ubuntu. L'afflusso di spam si era fermato. Devo ancora vederlo un po ', ma penso che il cliente è di nuovo padrone dei suoi sensi.
Io vado a volte come una scheda di rete wireless USB ottenere. Poi l'intero processo inizia con il notebook. Sarebbe molto più comodo prossima volta
L'H-Ponte Sniffer:
apt-get install brctl ifconfig eth0 0.0.0.0 promisc arp-up ifconfig eth1 0.0.0.0 promisc arp-up br0 brctl addbr addif br0 eth0 brctl addif br0 eth1 brctl ifconfig br0 0.0.0.0-arp promisc up
Godetevi questo articolo?
Traduttore
Impronta
Daniel affitto
COLLEGAMENTI VELOCI
Categorie
- Android (4)
- Questo e quello (23)
- Linux (39)
- Ubuntu (28)
- La strada (7)
Archivio
Articoli recenti
- 5 plugin per una maggiore privacy durante la navigazione con Firefox
- Informazioni di registrazione on-line a Dusseldorf fa cattiva impressione
- Tweet neglector. Un piccolo script PHP per cancellare vecchi tweet di Twitter
- HOWTO: veloce e sporco server DHCP e la cache DNS con dnsmasq su Ubuntu
- Wireless per EEE 1000H rt2860 in Ubuntu
- PHP Cheat Sheet
- Azienda Connect - divertimento con un fatturato di telecomunicazioni
- XS Stick UMTS W14 con Ubuntu
- 12 passi a Linux Apache MySQL PHP LAMP principale del server web sicuro
- Proteggere i server Linux con la truffa / spam / Crimine lista nera di Infiltrated.net
27 APRILE 2010
@ Voku: No, purtroppo no. Nel router non ho potuto guardarmi vivere il traffico e il cavallo di Troia non ha spammato tramite il server di posta interno, ma direttamente a SMTP di altri collegati in Internet.
27 APRILE 2010
non sarebbe sufficiente se si guarda sul router o la mail-server e l'indirizzo IP, che afferra l'intero edificio connessioni sulla porta 25?