[Tech] individuare uno spammer in lan

Lorenzo Riccucci trash@vacmf.org
Mer 14 Giu 2006 18:53:29 CEST


On Wed, 2006-06-14 at 18:22 +0200, Tommaso Visconti wrote:

> 
> si, la amministro.
> la richiesta iniziale di uno sniffer era perché avevo in quel momento
> solo un accesso ssh, ma dato che domani sarò là fisicamente posso
> smanettare quanto voglio.
> 
> allora la rete è fatta così:
> 
> tutti i Pc --> Switch1 -\
>   			 | --> firewall(monowall) --> router
> DMZ        --> Switch2 -/
> 

Ma in dmz che servizi hai? Non e` che possano sfruttare qualche sorta di
vulnerabilita` di qualcosa in dmz per ricollegarsi alla rete interna e
uscire con il vostro ip? 

> il tutto esce a diritto verso l'smtp di telecom,
> il fatto è che i pc sono molti e tutti belli infetti..

E questa e` sicuramente un'altra possibile fonte.
Magari potrebbe essere un worm che ha infettato i client e il traffico
totale e` generato un po` da tutti.

> quindi mi sa che la cosa migliore è infilare un portatile con 2 eth tra
> firewall e router e vedere quali sono gli ip che generano spam, giusto?

Oppure come gia` suggerito, con una eth e un hub.

buon divertimento ;)

-- 
ciao
shima

Gpg Key FPR: 8300 A8D8 A494 EDB7 2C7B  8629 549C 0C9C 8FBB 1E9C

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: This is a digitally signed message part
URL:         <http://lists.linux.it/pipermail/flug-tech/attachments/20060614/fc99c01f/attachment.pgp>


Maggiori informazioni sulla lista flug-tech