純ブリッジとトロイの木馬sniffenden狩り
数日前、私は電話を助けを求めて受け取った。 約10クライアントと社内LANから電子メールが送信される送信できませんでした。 すべてのメッセージは、ローカルのSMTPキューに残って、彼らは、リモートのSMTPにプロバイダでそれを渡す必要があります。 ISPへのSMTPセッションが手動でtelnetの透明性をもたらした急速:"あなたのIPがでブラックリストに載ってSpamcop.netは"だスパムデータベース。 おっと。 私は当初、ない悪を考え、その問題は不運のために元スパマーのIPアドレスの毎日の変更時に割り当てられていたが生じていると仮定。 このように、新しいIPを取得し、ルータが、問題は(私は少なくとも考えて)解決されたMauellリセット後。 メールは出て行った。
日後、"私たちはもうメールを送信することはできません!" ああは、ワークステーションがトロイの木馬をしています。 スパマーは、LAN上にある。 LAN上のすべてXPクライアントでAviraはワークステーションプロ実行しており、通常確実に動作します。 これはおそらく、何かが間違っていたです。
誰が犯人、私はSMTPトラフィックをされているかを調べるには、DSLルーターとLANの間を嗅いだ。 すべてのクライアントがスイッチにクライアントと同じスイッチ上で、受動的なリスニングを添付も可能なので(これはのみ可能ですなかったハブ)の。 だから私は、Debianのボックスを持って、2つのネットワークカードと2つのスイッチはかなり面倒な盗聴を構築しました。 これが私にしたこの資料のネットワークからハイス非常に便利です。
コンピュータスニフ投票の最後に、唯一の配線、その後
ネットワークブリッジが作成されます:
全体LANでのインターネットトラフィックはペンギンを流れるができるよう、コンピュータに2つのネットワークカードは、ブリッジされている。 スニフは、WiresharkでTCP/25とのして迅速に解決をもたらした。 秒以内に、外部のSMTPSに無線LANクライアントからぴったりあうのSMTP接続でいっぱいだった。
犯人は、私が会ったAviraはレスキューシステム起動 。 ライブCDはTRは/ Trojan.GEN)はそれを削除できませんでしたトロイの木馬を(発見した。 私は)してUbuntuのライブCDで削除system32/driversに感染したファイルを(ランダムな名前があります。 スパムの洪水が停止していた。 私はまだいくつかの時間を観察する必要がありますが、私は、クライアントが再び彼の感覚のマスターだと思います。
私が倍になるよのUSB 無線LANのNICが懸念 。 次に、すべてが順調にノートによく合います。 それはより快適に次回になる
ハイススニファ橋:
のapt -インストールするbrctl 最大eth0の0.0.0.0無差別- arpコマンドをifconfigコマンド 最大eth1の0.0.0.0無差別- arpコマンドをifconfigコマンド br0 brctl addbr br0 eth0のbrctl addif br0 eth1のbrctl addif br0 0.0.0.0アップarpの無差別をifconfigコマンド
2010年4月27日
@ Vokü:いいえ、残念ながらできません。 私は私に、ライブのトラフィックを見ることができなかったトロイの木馬は、内部メールサーバーを経由スパムしなかったが、直接他のSMTPは、インターネット上で接続しているルータでは。
2010年4月27日
と、それが十分でない場合は、ルーターやメールサーバー、接続、IPアドレス、上を見ればどのポート25の接続でグラブ建物全体?