Loviť s trójskymi koňmi sniffenden siete Bridge
Pred niekoľkými dňami som dostal výzvu so žiadosťou o pomoc. Z firemnej LAN s asi 10 klientov nemohol byť rozoslané e-mail. Všetky správy zostávajú vo fronte pre miestne SMTP prilepené, by mali preniesť na vzdialený SMTP s poskytovateľom. Manuálne relácie Telnet so ISP SMTP priniesol rýchlu jasno: "Vaša IP je na čiernej listine Spamcop.net 's databázou Spam ". Ups. Pôvodne som myslel, nič zlého, a predpokladá sa, že problém vznikol kvôli nešťastiu pri každodennom zmeniť adresu IP zo ex-spammer bol pridelený. Po resete MAUELL na router že sa jedná o nové IP, bol tiež problém vyriešiť (alebo tak som si myslel). Maily vyšiel.
O deň neskôr: "Nemôžeme odosielať e-maily už!" Ale nie, pracovné stanice má Trojan. Spammer je na LAN. Avira Pre Workstation beží na všetkých klientov, XP v sieti LAN a obvykle funguje spoľahlivo. To je asi niečo pokazilo.
Ak chcete zistiť, kto je vinníkom je, že som pričuchla SMTP komunikácie medzi DSL router a LAN. Vzhľadom k tomu, všetci klienti sú závislé na prepínači, pasívne načúvanie na rovnaký prepínač s klientom nebola možná (to je len s nábojom je). Preto som Debian box, 2 sieťové karty a 2 spínače vybudovali pomerne ťažkopádne napichne. To pre mňa bol tento článok na Heise sieťach veľmi užitočné.
Nakoniec, len zapojenie stroje hlasov čuchať, potom musí
Sieťový most sú vytvorené:
Dve sieťové karty v počítači boli prepojené tak, aby po celú LAN internetového prevádzky môže pretekať tučniaka. Sniff sa Wireshark na TCP/25 potom rýchlo priniesla riešenie. V sekundách, bol naplnený Livelog SMTP spojenie od klienta na externú LAN pasívne filtrovanie.
Vinník som pomocou záchranného systému Avira štartu. Live CD zistil Trojan (TR / Trojan.GEN) nemožno odstrániť. Mám infikovaného súboru (náhodný názov system32/drivers), potom odstrániť Ubuntu Live CD. Príliv spam prestal. Musím sa stále pozerať na to nejaký čas, ale myslím, že klient je opäť pánom svojich zmyslov.
Budem krát USB bezdrôtovú sieťovú kartu dostať. Potom sa celý proces začína s notebookom. To by bolo oveľa pohodlnejšie nabudúce
H-Sniffer Bridge:
apt-get install brctl ifconfig eth0 0.0.0.0 promisc, ARP sa ifconfig eth1 0.0.0.0 promisc, ARP sa br0 brctl addbr brctl addif br0 eth0 brctl addif br0 eth1 ifconfig br0 0.0.0.0, ARP promisc hore
Užite si tento článok?
Žiadne spätné odkazy.
O tomto blogu
Prekladateľ
Odtlačok
Daniel prenájmu
RÝCHLE ODKAZY
Kategórie
Archív
Nedávne články
- On-line cez držať surf UMTS s Debian s wvdial a O2 Mobilné bytu
- 5 Pluginy pre väčšie súkromie pri surfovaní vo Firefoxe
- On-line informácie v registri v Düsseldorfe zlý dojem
- Tweet Neglector. Malý PHP skriptu na odstránenie starej správy od Twitter
- HOWTO: rýchly a jednoduchý DHCP servera a DNS cache s dnsmasq na Ubuntu
- Bezdrôtové pre EEE 1000H rt2860 v Ubuntu
- PHP Cheat Sheet
- Firma Connect - zábava s predajom Telecom
- XS Stick W14 UMTS s Ubuntu
- 12 krokov k Linux Apache MySQL PHP root webového servera LAMP bezpečné
27.apríla 2010
@ Voku: Nie, bohužiaľ nie. V routeru som sa nemohol pozerať ma žiť prevádzku a Trojan nie je nevyžiadanou poštou cez interný mail server, ale priamo na iné SMTP je pripojený k internetu.
27.apríla 2010
by to nestačilo, keď sa pozriete na routeri alebo mail-server pripojenie a IP adresu, ktorá vezme celú budovu pre pripojenie port 25?