-=Wok=- Blog


Your Network. Our Passion (Networking ed altro)
Anno 2008

Anno 2007

Anno 2006

Accedi alle gallerie!
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

Identificare traffico SMTP anomalo

Qualche tempo fa sono stato chiamato da un amico per cercare di capire perché tutte le email spedite dai PC del suo ufficio venissero marcate come SPAM oppure non ricevute dai destinatari; c’è da aggiungere che l’ufficio è molto piccolo e che per ricevere la posta si appoggia su un server POP3 di un provider e per inviarla usa il server SMTP dell’ISP che gli fornisce la connettività.

 

Una cosa da verificare sono le liste antispam gestite dalle varie organizzazioni come ad esempio http://www.spamhaus.org/lookup.lasso

Ma se il risultato dei test, eseguiti più volte, danno tutto verde come nell’esempio seguente la cosa si complica

 

spamhaus_a4.jpg

 

A questo punto tocca andare a vedere cosa succede sul posto

 

La prima cosa da fare è contattare i due gestori dei servizi SMTP e POP3 e cercare di capire se nei loro log sono presenti delle informazioni utili.

Il secondo test che può essere fatto è provare, da un client qualsiasi della rete, a fare un telnet sulla porta 25 del server SMTP e vedere se il banner che si propone in fase di collegamento comunica qualche cosa di anomalo riguardo la sessione che si sta cercando di aprire.

 

Avendo fatto questo secondo test in tarda serata ma quando il PC  della rete erano ancora accesi il banner del servizio SMTP del provider comunicava che la sessione non poteva essere stabilita perché l’IP di provenienza (quello pubblico del router) era presente in una o più liste di spammer.

 

Facendo pochi secondi dopo un test su Spamhause in effetti l’IP risultava presente nella lista XBL.

 

A questo punto il problema era capire il perché , il fatto che non ci fosse un server di posta locale presso l’ufficio permetteva di escludere il caso di un Open Relay ma a questo punto si doveva investigare su quale macchina generasse traffico illegale verso il server SMTP del provider.

 

Per fare questo la soluzione più rapida, anche se leggermente invasiva è quella di interporre tra la LAN e il gateway un hub come indicato nella figura successiva.

blog_smtp_b.jpg

 

In realtà se la rete  dispone di switch che permettono la gestione delle porte e sufficiente configurare una porta dell’unità su cui è collegato il gateway (firewall o router che sia) come porta di monitoring in modo tale che tutto il traffico che attraversa l’apparato di rete sia inviata anche su di essa.

A questo punto è sufficiente collegare o all’hub o alla porta di monitoraggio il proprio portatile su cui si è provveduto ad installare Ethereal http://www.ethereal.com/ . Si tratta di un software gratuito che, utilizzando la modalità promiscua delle schede di rete, intercetta tutto il traffico di passaggio e ne permette la cattura.

 

Essendo una rete piccola con pochi client, con un’attività limitata, basato su switch ed essendo il portile attaccata in prossimità del default gateway non è stato necessario applicare alcun tipo di filtro alla cattura, nel caso in cui però il traffico fosse elevato conviene creare un filtro per la cattura del solo protocollo SMTP (porta TCP 25).

 

Ecco il risultato della prima cattura:

 

parte_14.jpg

Da questa schermata si capisce che la macchina 192.168.0.108 sta aprendo delle sessioni SMTP e non verso il server SMTP dell’ISP ma verso svariati server.

 

In realtà alcuni dei server a cui il PC cercava di inviare le email, configurati con dei motori antispam aggiornati, reagivano rifiutando le email in arrivo:

parte_4e.jpg

A questo punto era chiaro che chi causava  l’attività anomala che faceva inserire l’IP pubblico nelle blacklist era il PC wxpanna.studio.lan 192.168.0.108.

 

Sul client eseguendo il comando netstat in  una finestra DOS il risultato era una sequenza lunghissima di sessioni SMTP verso i più disparati server internet (purtroppo mi sono perso lo screenshot  portate pazienza).

 

In realtà sia Symantec Corporate Edition che i vari tool anti spyware (Spybot S&D e AD-Aware) erano però in grado di identificare nessun processo pericoloso, ma cercando nel task manager ed usando  “netstat –b” sono riuscito ad identificare una paio di servizi “illegali”.

 parte_3b.JPG

Disabilitati questi e rifatto un “netstat –b” il PC non creava più traffico SMTP anomalo.

 

Non appena possibile cercherò di capire come ha fatto l’utente ad infettare la macchina, immagino lanciando un file .exe scaricato o da internet o arrivato via email.

Categoria: Networking
venerdì, 07 mar 2008 Ore. 23.01



  • Views Home Page: 87.835
  • Views Posts: 213.221
  • Views Gallerie: 14.266
  • n° Posts: 115
  • n° Commenti: 110
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003