Foro de elhacker.net

Hola buenas, pues veréis tengo un problema bastante importante.

Ayer recibí quejas por parte de los empleados de mi empresa, de que les devolvían muchos correos, al enviarme el mensaje de error, descubrí que la página SpamCop me había incluido al servidor de correo que tengo contratado en su lista negra de SPAM.


Pues bien, aquí viene la cosa, por lo que me ha comentado quien lleva el tema de nuestro correo(ya que yo de ese campo desconozco bastante) que esto es con seguridad una infección, algún ordenador realizando un envío masivo de correo basura y tengo que detectarlo. El problema, son unos 40 ordenadores los que tengo que analizar, o incluso pueden llegar a 120 si el problema no ha surgido del edificio que creo que ha salido.

Lo que necesito saber es si existe alguna forma de saber y detectar si hay un exceso de tráfico SMTP en algún PC.

Indagando he visto que una de las formas de localizarlo, es mediante un sniffer en un ordenador, pues bien he puesto wireshark en los servidores de dominio a los cuales se conectan estos ordenadores, pero no me detecta ningún paquete de este tipo.

Debo ir ordenador por ordenador pasando por ejemplo malwarebytes? Solo esto es eficaz? O son tipos de virus difíciles de detectar??


Un saludo, muchas gracias de antemano.

te deberías colocar en un ordenador "cerca" del router en donde todas las conexiones se tornan 1, en su defecto en el router principal, colocas un puerto promiscuo que te reenvie toda la comunicacion de salida... en esa conexión es que vas a analizar el trafico, por lo menos 24 horas a 1 semana... si ahí no consigues paquetes pop3 o smtp, no es tuyo el spam, si lo consigues, solo sigue la ip/mac

Yo tenía pensado, colocar un portátil que tengo para este uso. Mi idea era, que el cable del switch que va al router, ponerlo en un pequeño switch/hub, el portátil en cuestión también y conectarlo al router también, para tenerlo "controlado".


Pero no se como hacer esto del puerto promiscuo.


Gracias.