木马追捕一个网络桥sniffenden

前几天，我接到一个电话寻求帮助。 从企业局域网与客户约10再也不能发送电子邮件。 所有消息留在队列为本地SMTP卡住，他们应该把它传递给一个供应商的远程SMTP。 手动telnet会话服务提供商的SMTP了快速清晰：“您的IP列入黑名单Spamcop.net的垃圾数据库“。 UPS。 我最初以为无恶，认为出现问题期间每天前垃圾邮件发送者已被分配的IP地址的变化，因为运气不好。 mauellen，这是一个新的IP路由器复位后，这个问题也解决了（至少我认为）。 邮件出去。

一天后：“我们不能再发送邮件” 哦，不，一台工作站有木马。 垃圾邮件是在局域网上。 Avira工作站临的局域网上的所有XP客户端上运行，并有通常工作可靠。 这可能是出事了。

找出谁是罪魁祸首，我嗅到了DSL路由器和LAN之间的SMTP通信。 由于所有客户端连接到交换机，与客户同一个交换机上的被动侦听是不可能的（这是唯一可能与集线器）。 所以，我有一个Debian中，2个网卡和2个开关，内置相当繁琐窃听。 这对我是这篇文章上海泽网络非常有用。

在年底，刚刚嗅出电脑投票的布线，然后其中一个必须
创建网桥：

为了电脑中的两个网卡桥接整个局域网上网流量也流经企鹅。 一个使用Wireshark嗅探上TCP/25，然后很快得到了解决方案。 在几秒钟内，充满了从局域网客户端与外部SMTPS的Livelog SMTP连接。

我一直在使用的 Avira 救援系统的罪魁祸首启动。 已检测到木马（TR / Trojan.GEN）无法删除它的Live CD。 我有一个受感染的文件（随机名称system32/drivers一个Ubuntu的Live CD），然后删除。 垃圾邮件的涌入已经停了。 一段时间，我还没有见过，但我认为客户端又是他的感官的主人。

我要去一个USB无线网卡得到。 那么一切顺利的笔记本电脑。 这将是下一次更舒适

H桥嗅探器：

 apt-get的安装brctl

使用ifconfig eth0 0.0.0.0 PROMISC-ARP
使用ifconfig eth1的0.0.0.0 PROMISC-ARP
 BR0 brctl addbr
 brctl addif br0的eth0的
 brctl addif br0的eth1使用
使用ifconfig br0的0.0.0.0 ARP PROMISC