ネットワークブリッジsniffendenと狩りにトロイの木馬

数日前、私は助けを求める電話を受けた。 約10のクライアントと社内LANから、もはや電子メールを送信することができなかった。 すべてのメッセージはスタックローカルSMTPのキュー内に残り、彼らは、プロバイダとリモートのSMTPにそれを渡す必要があります。 プロバイダのSMTPを手動でtelnetセッションでは、急速な明快さを与えた： "あなたのIPはブラックリストに載っているSpamcop.netのスパムデータベース"。 UPS。 私は最初は悪を考えず、問題は、不運の元スパマーが割り当てられたIPアドレスの毎日の変更時に生じていると仮定した。 これは、新しいIPであったルータのmauellenのリセット後、問題は、（少なくとも私は思った）が解消しました。 メールは出て行った。

一日後： "我々はもはやメールを送信することはできません！" ああ、いや、ワークステーションは、トロイの木馬を持っています。 スパマーはLAN上にある。 AviraはワークステーションProはLAN上のすべてのXPクライアント上で実行され、通常は確実に動作しています。 これはおそらく間違っていたものです。

誰が犯人を見つけるために、私は、DSLルーターとLANの間のSMTPトラフィックを盗聴。 すべてのクライアントがスイッチに接続されているので、クライアントと同じスイッチ上で受動的なリスニングが可能ではなかった（これがハブでのみ可能です）。 だから私は、Debianのボックスは、かなり面倒な盗聴を構築した2つのNICと2つのスイッチを持っています。 私にはこれがあったこの記事は非常に便利なハイゼネットワーク上の。

最後に、ちょうど1つなければなりませんし、コンピュータの投票の配線を盗聴する必要があります
ネットワークブリッジが作成されます。

コンピュータに2つのネットワークカードは、LAN全体のインターネットトラフィックにもペンギンが流れることができるためには、ブリッジであった。 TCP/25にWiresharkのとスニフ、すばやく解決策をもたらした。 秒以内に、LANクライアントから外部SMTPSにLivelog SMTP接続を充填した。

私が使ってきた犯人Aviraはレスキューシステムがブートされました。 ライブCDは、トロイの木馬（TR / Trojan.GEN）はそれを削除できませんでしたが検出されました。 私は、UbuntuのライブCDを使用して削除され、感染したファイル（ランダムな名前のsystem32/drivers）を持っています。 スパムの流入が停止していた。 私はしばらく見ていないが、私は、クライアントは再び彼の感覚のマスターだと思います。

私は倍に行きUSB無線NICが取得します。 次に、すべてのノートブックによく合います。 それは次回はるかに快適であろう

Hブリッジスニファ：

 apt-getでインストールbrctl

 0.0.0.0 PROMISC-ARPアップはeth0 ifconfigコマンド
 ifconfigのeth1の0.0.0.0 PROMISC-ARPアップ
 BR0 brctl addbr
 brctlはaddif eth0をbr0に
 brctlはaddif br0にeth1を
 ifconfigコマンドbr0には0.0.0.0-ARP PROMISCアップ