Å jakte med en trojaner sniffenden Net Bridge
For noen dager siden fikk jeg en telefon å be om hjelp. Fra en felles LAN med ca 10 klienter kunne ikke lenger bli sendt ut e-post. Alle meldinger forbli i køen for den lokale SMTP fast, bør de gi det til en ekstern SMTP med leverandøren. En manuell telnet sesjon til ISP SMTP brakte raske klarhet: "Din IP er svartelistet i Spamcop.net 's Spam Database ". Ups. Jeg trodde først ikke noe ondt, og antok at problemet har oppstått på grunn av uflaks i den daglige endre IP-adressen til en eks-spammer hadde blitt tildelt. Etter en MAUELL reset av ruteren at dette var en ny IP, var problemet også løst (eller så jeg trodde). Den post gikk ut.
En dag senere: "Vi kan ikke sende mail lenger!" Å nei, har en arbeidsstasjon en trojaner. Spammeren er på LAN. Avira Workstation Pro kjører på alle XP-klienter på LAN, og har vanligvis fungerer pålitelig. Dette er sannsynligvis noe gikk galt.
Å finne ut hvem den skyldige er, har jeg snuste SMTP trafikken mellom DSL ruteren og LAN. Siden alle klienter avhenge brytere, var passiv lytter på samme bryter med en klient ikke er mulig (dette er kun med HUB-tallet). Derfor har jeg en Debian boks, 2 nettverkskort og 2 brytere bygget ganske tungvint wiretap. Dette for meg var denne artikkelen på Heise nettverk svært nyttig.
Til slutt, bare ledningene av maskinen stemme snuse, så må man
Network Bridge er opprettet:
De to nettverkskort på datamaskiner har blitt bro i orden for hele LAN Internett-trafikken kunne flyte gjennom pingvinen. En Sniff med wireshark på TCP/25 deretter raskt brakt løsningen. På sekunder ble fylt med Livelog SMTP tilkoblinger fra en LAN-klient til eksterne passiv filtrering.
Den skyldige Jeg har brukt Avira Rescue System startet. Den live CD har oppdaget en trojaner (TR / Trojan.GEN) ikke kunne slette den. Jeg har den infiserte filen (tilfeldig navn i system32/drivers) og deretter fjernes med en Ubuntu Live CD. Tilstrømningen av spam hadde stoppet. Jeg må fortsatt se det litt tid, men jeg tror kunden er mester igjen av hans sanser.
Jeg kommer til tider som en trådløs USB-NIC får. Så hele prosessen starter med den bærbare datamaskinen. Det ville være mye mer behagelig neste gang
H-Sniffer Bridge:
apt-get install brctl ifconfig eth0 0.0.0.0 promisc-arp opp ifconfig eth1 0.0.0.0 promisc-arp opp br0 brctl addbr brctl addif br0 eth0 brctl addif br0 eth1 ifconfig br0 0.0.0.0-arp promisc opp
Nyt denne artikkelen?
Om denne bloggen
Oversetter
Imprint
Daniel leie
QUICK LINKS
Kategorier
- Android (4)
- Dette og at (24)
- Linux (39)
- Ubuntu (28)
- Veien (7)
Arkiv
Siste artikler
- Online via UMTS surfe stokk med Debian med wvdial og O2 Mobile Flat
- 5 plugins for mer privatliv mens du surfer med Firefox
- Online påmelding informasjon i Dusseldorf gjør dårlig inntrykk
- Tweet Neglector. Et lite PHP script for å slette gamle tweets fra Twitter
- HOWTO: Quick and dirty DHCP server og DNS cache med dnsmasq på Ubuntu
- Wireless for EEE 1000H rt2860 i Ubuntu
- PHP jukselapp
- Firma Connect - moro med telekom salg
- XS Stick W14 UMTS med Ubuntu
- 12 trinn til en Linux Apache MySQL PHP webserverroten LAMP sikre
27 april 2010
@ Voku: Nei, dessverre ikke. I ruteren kunne jeg ikke se meg leve trafikk og trojanske har ikke spammet via den interne mail server, men direkte til andre SMTP er koblet på Internett.
27 april 2010
ville det ikke nok hvis du ser på ruteren eller mail-server tilkoblinger og IP-adressen, som griper hele bygningen på port 25 tilkoblinger?