{"id":434,"date":"2010-04-20T18:11:44","date_gmt":"2010-04-20T16:11:44","guid":{"rendered":"http:\/\/www.daniel-ritter.de\/blog\/?p=434"},"modified":"2010-04-20T18:11:44","modified_gmt":"2010-04-20T16:11:44","slug":"auf-trojanerjagd-mit-einer-sniffenden-netzbrucke","status":"publish","type":"post","link":"https:\/\/www.daniel-ritter.de\/blog\/auf-trojanerjagd-mit-einer-sniffenden-netzbrucke\/","title":{"rendered":"Auf Trojanerjagd mit einer sniffenden Netzbr\u00fccke"},"content":{"rendered":"

\"\"<\/a> Vor einigen Tagen erhielt ich einen Anruf mit der Bitte um Hilfe. Aus einem Firmen-LAN mit ca. 10 Clients konnte keine E-Mail mehr versandt werden. Alle Mails blieben in der Warteschlange des lokalen SMTP stecken, der sie an einen Remote-SMTP beim Provider weiterreichen sollte. Eine manuelle Telnet-Session zum SMTP des Providers brachte schnelle Klarheit: „Your IP is blacklisted in Spamcop.net<\/a>’s Spam-Database“. Ups. Ich dachte zun\u00e4chst nichts B\u00f6ses und ging davon aus, dass das Problem dadurch entstanden ist, dass durch Pech beim t\u00e4glichen IP-Wechsel eine Ex-Adresse eines Spammers zugewiesen worden war. Nach einem mauellen Reset des Routers, der dadurch eine neue IP bekam, war das Problem auch gel\u00f6st (dachte ich zumindest). Die Mails gingen raus. <\/p>\n

\nEinen Tag sp\u00e4ter: „Wir k\u00f6nnen keine Mails mehr verschicken!“ Oh nein, eine Workstation hat einen Trojaner. Der Spammer ist im LAN. Avira Workstation Pro l\u00e4uft auf allen XP-Clients im LAN und hat in der Regel auch zuverl\u00e4ssig funktioniert. Hier ist aber wohl etwas schief gelaufen.<\/p>\n

Um herauszufinden wer der \u00dcbelt\u00e4ter ist, habe ich den SMTP-Traffic zwischen DSL-Router und LAN gesnifft. Da alle Clients an Switchen h\u00e4ngen, war passives Mith\u00f6ren am selben Switch mit einem Client nicht m\u00f6glich (Das geht nur mit HUB’s). Deshalb habe ich mit einer Debian-Kiste, 2 Netzwerkkarten und 2 Switches ziemlich umst\u00e4ndlich einen Wiretap gebaut. Dabei war mir dieser Artikel<\/a> von heise netze sehr n\u00fctzlich.<\/p>\n

Im Endeffekt muss nur die Verkablung des Sniff-Rechners stimmen, danach muss eine
\nNetzwerkbr\u00fccke erstellt werden:<\/p>\n

Die beiden Netzwerkkarten im Rechner wurden gebridged, damit der ganze LAN-INTERNET Traffic auch durch den Pinguin fliessen konnte. Ein Sniff mit Wireshark auf TCP\/25 brachte dann sehr schnell die L\u00f6sung. In Sekundenschnelle f\u00fcllte sich das Livelog mit SMTP-Verbindungen eines LAN-CLients zu externen SMTPs.<\/p>\n

Den \u00dcbelt\u00e4ter habe ich mit dem Avira Rescue System<\/a> gebootet. Die Live-CD hat einen Trojaner (TR\/Trojan.GEN) festgestellt, konnte ihn aber nicht l\u00f6schen. Ich habe die infizierte Datei (Zufallsname in system32\/drivers) danach mit einer Ubuntu-Live-CD entfernt. Die Spamflut hatte aufgeh\u00f6rt. Ich muss es noch einige Zeit beobachten, aber ich glaube der Client ist wieder Herr seiner Sinne.<\/p>\n

Ich werde mir mal so einen USB LAN NIC<\/a> besorgen. Dann geht das ganze auch mit dem Notebook. Das w\u00e4re viel angenehmer beim n\u00e4chsten Mal.<\/p>\n

\nDie heise Schn\u00fcffel-Bridge:<\/p>\n

\r\napt-get install brctl\r\n\r\nifconfig eth0 -arp promisc 0.0.0.0 up \r\nifconfig eth1 -arp promisc 0.0.0.0 up \r\nbrctl addbr br0 \r\nbrctl addif br0 eth0\r\nbrctl addif br0 eth1 \r\nifconfig br0 -arp promisc 0.0.0.0 up\r\n<\/pre>\n","protected":false},"excerpt":{"rendered":"
Vor einigen Tagen erhielt ich einen Anruf mit der Bitte um Hilfe. Aus einem Firmen-LAN mit ca. 10 Clients konnte keine E-Mail mehr versandt werden. Alle Mails blieben in der Warteschlange des lokalen SMTP stecken, der sie an einen Remote-SMTP beim Provider weiterreichen sollte. Eine manuelle Telnet-Session zum SMTP des Providers brachte schnelle Klarheit: „Your […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36],"tags":[81,82,79,83,80],"class_list":["post-434","post","type-post","status-publish","format-standard","hentry","category-ubuntu","tag-bridge","tag-netzwerk","tag-sniff","tag-trojaner","tag-wireshark"],"_links":{"self":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/434","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/comments?post=434"}],"version-history":[{"count":16,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/434\/revisions"}],"predecessor-version":[{"id":451,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/posts\/434\/revisions\/451"}],"wp:attachment":[{"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/media?parent=434"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/categories?post=434"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.daniel-ritter.de\/blog\/wp-json\/wp\/v2\/tags?post=434"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}