Для охоты с троянами sniffenden Чистая мост
Несколько дней назад мне позвонили с просьбой о помощи. С корпоративной сети с примерно 10 клиентов уже нельзя было разослано по электронной почте. Все сообщения остаются в очереди на местном застряли SMTP, они должны передать его на удаленный SMTP с провайдером. Руководство сессию Telnet для SMTP провайдера вызвал быстрый ясности: "Ваш IP занесен в черный список в Spamcop.net 'ы спам базы данных ". Ups. Я сначала думал никакого зла, и предположили, что проблема возникла из-за неудачи во время ежедневного адрес IP изменении экс-спамер был назначен. После сброса MAUELL на маршрутизаторе, что это был новый IP, проблема была также решена (или так мне казалось). Почты вышел.
Через день: "Мы не можем отправить почту больше!" О, нет, рабочая станция Trojan. Спамер в локальной сети. Avira рабочая станция Pro работает на всех клиентах XP по локальной сети и, как правило, работает надежно. Это, наверное, что-то пошло не так.
Чтобы узнать, кто является виновником, я понюхал SMTP-трафика между DSL-маршрутизаторов и LAN. Так как все клиенты зависят от выключателей, пассивное слушание по одному коммутатору с клиентом не удалось (это только с концентратора). Поэтому я Debian окно, 2 сетевые карты и 2 переключателя построен довольно громоздким Wiretap. Это была для меня эта статья на Heise сети очень полезно.
В конце концов, только проводку из машины голос понюхать, то нужно
Сетевой мост создаются:
Две сетевые карты в компьютеры были мостом для того, чтобы весь интернет трафик локальной сети может протекать через пингвина. Sniff с Wireshark на TCP/25 затем быстро принесла решение. В считанные секунды наполнился Livelog соединений SMTP с клиентом локальной сети к внешним пассивной фильтрации.
Виновником Я использую системы Avira спасательной загрузки. Live CD обнаружила троянца (TR / Trojan.GEN) не мог удалить его. У меня есть зараженный файл (случайным именем в system32/drivers), затем удалить с Ubuntu Live CD. Приток спама прекратился. Надо еще посмотреть его некоторое время, но я думаю, что клиент снова мастер своего чувства.
Я собираюсь как раз сетевая USB беспроводной получить. Затем весь процесс начинается с ноутбуком. Это было бы гораздо комфортнее следующий раз
H-Sniffer мост:
кв-получить установку brctl Ifconfig eth0 0.0.0.0 PROMISC ARP-до Ifconfig eth1 0.0.0.0 PROMISC ARP-до br0 brctl addbr brctl addif br0 eth0 brctl addif br0 eth1 Ifconfig br0 0.0.0.0 ARP-PROMISC до
Наслаждайтесь этой статьей?
Нет обратных ссылок.
Переводчик
Отпечаток
Даниэль аренду
Быстрые ссылки
Категории
Архив
Последние статьи
- 5 плагинов для более конфиденциальную информацию во время серфинга с Firefox
- Интернет информации о регистрации в Дюссельдорфе делает плохое впечатление
- Tweet Neglector. Небольшой скрипт PHP удалять старые твиты из щебетать
- HOWTO: Быстрые и грязные DHCP-сервер и DNS-кэш Dnsmasq на Ubuntu
- Беспроводные для EEE 1000H rt2860 в Ubuntu
- PHP Шпаргалка
- Компания Connect - удовольствие от продажи телекоммуникационных
- XS Придерживайтесь W14 UMTS с Ubuntu
- 12 шагов к Linux Apache MySQL PHP веб-ЛАМПЫ корневой сервер безопасным
- Защита серверов с Linux афера / спам / Преступность черный список Infiltrated.net
27 апреля 2010
@ Voku: Нет, к сожалению, нет. В маршрутизаторе я не мог смотреть, как я живу трафика и троянских не спам через внутренний почтовый сервер, а непосредственно на другие SMTP, подключенного в Интернет.
27 апреля 2010
разве не достаточно, если вы посмотрите на маршрутизаторе или почтового сервера связи и IP-адрес, который захватывает все здание на порт 25 соединений?