Trojany na polowanie z siecią mostów sniffenden
Kilka dni temu otrzymałem telefon z prośbą o pomoc. Z firmowej sieci LAN z około 10 klientów nie może już być wysyłane e-mail. Wszystkie wiadomości pozostają w kolejce do lokalnej Stuck SMTP, powinny one przekazać go do zdalnego serwera SMTP z dostawcą. Instrukcja sesji telnet do serwera SMTP Twojego dostawcy dał szybką jasność: "Twoje IP jest na czarnej liście w Spamcop.net 's Spam Database ". Ups. I początkowo myślałem nic złego, a zakłada się, że problem powstał z powodu pecha podczas codziennej zmiany adresu IP ex-spamer został przydzielony. Po resecie mauellen routera, że było to nowe IP, problem został rozwiązany (przynajmniej myślałem). Na maile wyszedł.
Jeden dzień później: "Nie możemy wysyłać e-maile anymore" O nie, stacja ma trojana. Spamer jest w sieci LAN. Avira Workstation Pro działa na wszystkich klientach XP w sieci LAN i ma zazwyczaj działa niezawodnie. Jest to prawdopodobnie coś poszło źle.
Aby dowiedzieć się, kto winny, ja nosem SMTP ruchu między DSL i LAN. Ponieważ wszyscy klienci dołączone do przełączników, bierne słuchanie tego samego przełącznika z klientem nie było możliwe (jest to możliwe tylko z koncentratorami). Więc mam Debiana pudełko, 2 NICs i 2 przełączniki zbudowane dość kłopotliwe Wiretap. To dla mnie był to artykuł w Heise sieci bardzo przydatne.
W końcu, po prostu trzeba powąchać okablowanie głosowaniu komputerowym, a następnie trzeba
Mostek sieciowy tworzone są:
Dwie karty sieciowe w komputerach były zmostkowane, aby cały ruch internetowy LAN może również przepływać przez pingwina. Sniff z Wireshark na TCP/25 następnie szybko przyniósł rozwiązania. W ciągu kilku sekund, została wypełniona Livelog połączeń SMTP z klienta sieci LAN zewnętrznym SMTPS.
Winowajcą Używam tego system ratunkowy Avira uruchomiony. Live CD wykrył Trojan (TR / Trojan.GEN) nie może go usunąć. Mam zainfekowany plik (random system32/drivers nazwa), a następnie usunąć za pomocą Live CD Ubuntu. Napływ spamu ustało. Nie widziałem od jakiegoś czasu, ale myślę, że klient jest ponownie mistrzem zmysłów.
Mam zamiar razy USB NIC bezprzewodowy dostać. Wtedy wszystko pójdzie dobrze z notebookiem. To byłoby o wiele bardziej komfortowe następnym razem
H-Bridge sniffer:
apt-get install brctl ifconfig eth0 0.0.0.0 promisc-arp up ifconfig eth1 0.0.0.0 promisc-arp up br0 brctl addbr brctl addif br0 eth0 brctl addif br0 eth1 ifconfig br0 0.0.0.0-arp promisc górę
Ciesz się ten artykuł?
O tym blogu
Tłumacz
Odcisk
Daniel czynsz
SZYBKIE LINKI
Kategorie
Archiwum
Najnowsze artykuły
- Online za pośrednictwem drążka UMTS surfingu z Debiana używając wvdial i O2 Mobile Flat
- 5 wtyczek do więcej prywatności podczas surfowania w Firefoksie
- Online informacje dotyczące rejestracji w Dusseldorfie sprawia złe wrażenie
- Neglector Tweet. Mały skrypt PHP do usuwania starych tweety z Twittera
- HOWTO: Szybkie i brudne serwer DHCP i DNS cache z dnsmasq na Ubuntu
- Wireless na EEE 1000H rt2860 w Ubuntu
- PHP ściągawki
- Firma Connect - zabawy z telekomunikacyjnych sprzedaży
- XS Memory Stick W14 UMTS z Ubuntu
- 12 środków do Apache PHP MySQL Linux web server LAMP korzeni zabezpieczyć
27 kwietnia 2010
@ Voku: Nie, niestety nie. W routerze nie mogłam oglądać mnie na żywo ruchu i trojany nie spamu za pośrednictwem wewnętrznego serwera pocztowego, ale bezpośrednio do innych SMTP jest podłączony do Internetu.
27 kwietnia 2010
nie minęło, jeśli spojrzeć na routerze lub mail-serwera połączenia i adres IP, który chwyta cały budynek na porcie 25 połączeń?