トロイの木馬sniffendenネットブリッジで狩りへ

数日前、私は助けを求める電話を受けた。 約10クライアントと社内LANから、もはや電子メールを送ったことができなかった。 すべてのメッセージがスタックローカルSMTPのキューに残っている、彼らは、プロバイダとのリモートSMTPにそれを渡す必要があります。 ISPのSMTPへの手動のtelnetセッションでは、急速な明快さをもたらした："あなたのIPがでブラックリストに載っているSpamcop.netのスパムデータベース"。 UPS。 私は最初は悪を考えていない、と問題がex -スパマーのIPアドレスが割り当てられていた毎日の変更時にために不運が生じていると仮定。 これは新しいIPであることをルータのMAUELLのリセット後、問題も解消された（またはそう私は思った）。 メールが出て行った。

一日後："我々はもはやメールを送信することはできません！" ああ、いや、ワークステーションは、トロイの木馬を持っています。 スパマーは、LAN上にある。 AviraはワークステーションProはLAN上のすべてのXPクライアント上で動作し、通常は安定して動作するようにしています。 これはおそらく間違っていたものです。

犯人が誰であるかを調べるために、私は、DSLルーターとLANの間でSMTPトラフィックをスニッフィングしました。 すべてのクライアントはスイッチに依存しているので、クライアントと同じスイッチ上で受動的なリスニングは、（これが唯一のHUBのとある）ことはできませんでした。 したがって、私はDebianボックス、2つのNICとかなり面倒な盗聴を建て、2つのスイッチを持っている。 私にとってこれがあったこの記事は非常に便利なハイゼネットワーク上の。

最後に、マシンの投票の唯一の配線は、においを嗅ぐ、、1つを行う必要があります
ネットワークブリッジが作成されます。

コンピュータに2つのネットワークカードは、LAN全体のインターネットトラフィックのためには、ブリッジされているペンギンを通って流れることができる。 TCP/25にWiresharkのとスニッフして迅速にソリューションをもたらした。 秒で、LANクライアントから外部パッシブフィルタリングにLivelog SMTP接続で一杯だった。

私が使用してきた犯人Aviraはレスキューシステムがブートさ。 ライブCDは、トロイの木馬（TR / Trojan.GENが）それを削除することができなかったが検出されました。 私は、UbuntuのライブCDを使用して削除（system32/driversでランダムな名前）感染ファイルを持っている。 スパムの流入が停止していた。 私はまだそれにいくつかの時間を監視する必要がありますが、私は、クライアントが再び彼の感覚のマスターだと思います。

私は、時代つもりUSBワイヤレスNICが取得。 その後、全体のプロセスは、ノートブックから始まります。 それは次回はるかに快適になる

H -スニファーブリッジ：

はapt - get install brctl

 ifconfig eth0コマンドまでの0.0.0.0 PROMISC - ARP
 ifconfigのeth1の設定0.0.0.0 PROMISC - ARP
 br0のbrctl addbr
 eth0をbrctl addif br0の
 brctl addif br0のeth1に
 ifconfigのbr0の0.0.0.0 - ARP PROMISCアップ