Agent.58675: Jagd mit,WireShark

01/11/2007 - 19:15 von Eberhard Spittler | Report spam
Das sollte eigentlich ein völlig neuer Faden werden, was aber mißlungen
ist - also noch ein Versuch ...
_______________________________________________________________________

Eberhard Spittler schrieb unter dem Betreff "MediaMonkey mit Agent.58675":


Weil dieser Diskussionsfaden außerordentlich unübersichtlich geworden
ist, fange ich einen neuen mit dem Betreff "Agent.58675: Jagd mit
WireShark" an.



Das Thema hat sich sehr zerfleddert und ich möchte es auf die Analyse
fokussieren. Die Lage ist nàmlich immer noch unübersichtlich. Man weiß
eigentlich nur, daß es Anhaltspunkte für automatisierten Spam von meiner
Seite gibt, daß ein Virenscanner den obigen Trojaner gefunden zu haben
glaubte, und daß ich meine Systeme nicht vollstàndig beherrsche.

Zunàchst einmal danke ich allen, die sich die Mühe gemacht haben, sich
mit dem Fall auseinanderzusetzen. Die Ratschlàge schwankten zwischen den
Extremen "erst mal untersuchen" bis zu "sofort totschlagen und neu
aufsetzen". Für alle Positionen wurden triftige Gründe aufgeführt und
ich schàtze die Argumente von keiner Seite gering, auch wenn ich mich
(schon aus wirtschaftlichen Gründen) zur Analyse der Lage entschlossen habe.

Zusammenfassung der Vorgeschichte:

Der MediaMonkey-Installer, welcher den Alarm des Virenscanners ausgelöst
hatte, scheint unschuldig zu sein (was alleine schon ein Grund ist, ihn
aus dem Betreff zu löschen). Ob eines meiner Systeme Spam versendet, ist
zwar zu vermuten, aber gesichert ist es noch nicht. Überhaupt nicht
gesichert ist, ob es das System mit Windows 2000 ist.

Rainer May schlug am 27.10. vor:

ich würde zumindest mal - der OP hat ja offenbar mehrere Maschinen zur
Verfügung - eine Kiste mit 2 Netzwerkkarten als "Router" zwischen den
verdàchtigen Windows-Rechner und den echten Router klemmen (so
letzterer nicht selbst entsprechend konfiguriert werden kann), Knoppix
auf dem Pseudo-Router booten, Wireshark starten und Port 25
protokollieren.



Wilfried Kramer begründete am selben Tag, warum die Überwachung des
TCP-Ports 25 vermutlich ausreichend ist:

Dann wàre das ein Server, der vom Malware Autoren aufgestellt wurde.
Wenn sowieso aller Spam darüber làuft, warum diesen Server dann von
einem Botnetz aus füttern? Das ist hochgradig schwachsinnig.



FRAGE: gibt's zu Port 25 nicht auch ein verschlüsseltes Pendant, das
auch in Frage kàme?

ditto Jürgen Ilse am 28.:

Wenn er direkt per SMTP auf anderen Mailservern einzuliefern versucht:
Ja, dann benutzt er (Ziel-) Port 25 fuer die Verbindung, weil er unter
anderen Ports wohl eher keinen fuer ihn offenen SMTP-Dienst finden
wird.



Wolfgang Ewert meinte am 29. zur System-Frage:

DAU-fàhig sind sie alle nicht, denn Du willst forensicher Analyse
betreiben: Knoppix, Knoppicillin, INSERT (Inside Security Rescue
Toolkit, kenn ich nicht).



Ich habe mit hier die Live-CDs BackTrack 2 und BOSS 2 besorgt und
außerdem ein neues Debian 4 nur für diesen Zweck auf einer Maschine
installiert, auf der sonst nichts ist.

Eine grundsàtzlich Frage habe ich noch:

ist es wesentlich, daß der Aufzeichnungsrechner als Router arbeitet?
Genügt nicht eine Netzwerkkarte, die einfach mitlauscht?
Es besteht die Möglichkeit zu beidem, dann müßte ich allerdings die
verdàchtigen Rechner auf einen anderen Adressraum umkonfigurieren (DHCP
verwende ich nicht).




Eberhard Spittler
[ Spàmm geht in's Nirwana, Adresse funktioniert aber ]
 

Lesen sie die antworten

#1 Peter Blancke
01/11/2007 - 20:51 | Warnen spam
Ad 2007-11-01, Eberhard Spittler dixit:

ist es wesentlich, daß der Aufzeichnungsrechner als Router
arbeitet?



Nein.

Genügt nicht eine Netzwerkkarte, die einfach mitlauscht?



Ja. So mache ich das auch. Und damit Dich kein Switch aussperrt, hat
man fuer so etwas einen dummen Hub herumliegen, den man in die
Netzwerkleitung einschleift und der an alle Ports hinausblaest. Dort
haenge ich dann den Mitschnittrechner dran.

Das duerfte Dir Umkonfigurationen am Netzwerk ersparen, auszer das
Einschleifen des Hubs.

Grusz,

Peter Blancke

Hoc est enim verbum meum!

Ähnliche fragen