Foro de elhacker.net

Buenas Colegas

Mi ip pública figura en lista de spam desde hace una semana, no estoy pudiendo identificar al equipo infectado en mi red, la cuestion es así: (Voy a tratar de ser claro)

El equipo infectado envía correos con un nombre de dominio diferente al de la organizacion a la cual trabajo usando mi IP pública, es decir mi dominio es ejemplo1@MiDominio.com y el reporte que me envian de la lista RBL me dice lo siguiente: que desde mi IP pública se envía spam DESDE la direccion de correo ejemplo2@dominioExterno.com

Existe alguna forma de encontrar al spamer en mi red?

Estuve usando wireshark para escuchar al puerto
25, pero no me reporta ningun trafico desde el mismo.

Agradezco sus comentarios de ayuda

Los paquetes que Wireshark capture depende de cómo lo estés configurando.
Podrías usar un programa para escanear todas las IPs en el rango de la máscara para saber todas las IPs locales a las cuales tu PC tiene contacto.
Si no, fijate en el router. El router debería de tener una pantalla con todos los nodos conectados a la red.
Si no, considerá la posibilidad de que haya un software haciendo esto en segundo plano desde alguna de tus computadoras.

A ver si me das una mano con el tema del filtro, el que estuve usando es:
tcp.port == 25 || udp.port == 25

Si conoces el filtro correcto me avisas por favor

Procedimiento:

* Ejecutamos wireshark
* Vamos a “Capture Options”.
* Especificamos en que tarjeta de red queremos “escuchar”
* Como realmente no queremos escuchar todos los paquetes, sino que solo los que son de correo electrónico, ponemos en el cuadro “Capture Filter”: “src or dst port 25”. Con esto nos ahorraremos leer un montón de paquetes que no nos interesan, ganaremos en tiempo y recursos del sistema.
* Si queremos podemos guardar las capturas en un archivo. No es obligatorio.
http://img525.imageshack.us/img525/2556/manim01.jpg


* Le damos a “Start”… y a esperar. A medida que vayan saliendo paquetes analizamos el contenido
* Si alguien envía un correo electrónico recibiremos una captura como esta:
http://img443.imageshack.us/img443/6923/manim02.jpg



Donde está el cuadro rojo saldrán las IP de origen, y donde el azul las de destino. Basta con comprobar si el correo es real o SPAM. En ese caso miramos cual es la IP de origen y … ¡YA HEMOS IDENTIFICADO AL CULPABLE!

http://www.forospyware.com/t343599.html (http://www.forospyware.com/t343599.html)

https://es.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

no digo na que luego me regañan  :silbar:

Que es lo que hecho mal ? Bueno pues que revise los puertos 587 y el 465.


Otra cosa se puede conectar vía telnet al puerto 25 y sin autenticar trata de enviar correo a hotmail, yahoo, etc, si tu server está bien configurado no te debe permitir hacer esto.


Hay una herramienta que se llama pflogsumm, es muy útil ya que te genera un reporte que te permite detectar de manera más fácil algún problema.

y si se ha montado un servidor POP o IMAP  :silbar:


https://wiki.gandi.net/es/mail/standard-settings

asi que recomendarle que sniffe el trafico del puerto 25 entrada/salida cuando ya casi ningun servidor de correo lo utiliza para mandar correos ademas de estar filtrado por la mayoria de ISP ha sido una idea co.jonuda para hacer que pierda el tiempo.

warcry.

Hombre no somos adivinos a ver si se pasa el usuario y nos comenta algo mas y le sirve o no,  le estamos intentando ayudar en lo que se puede.



En el mismo enlace que tu me has pasado pone esto:

Puerto : 25 par defecto, 587 si su proveedor de acceso Internet filtra el puerto 25 (Telefonica, Orange…), o 465 si utiliza SSL. En todos los casos, puede probar los tres y utilizar el que funcione.

Seguridad TLS o SSL : sí (aconsejado). Si los diferentes puertos no funcionan, vuelva a intentarlo con el 25 o 587 (STARTTLS) con la seguridad desactivada.

nuevamente hay que suponer muchas cosas en este tipo de temas, puesto que no dicen nada sobre como tienen montada la red, que recursos utiliza, etc.

suponiendo que tienes un equipo (router, server, etc) por el que entra y sale el tráfico, es fácil saber mirando los diferentes servicios que se encargan de monitorear la red, y si no los tiene, pues recomiendo que lo instale, ya que enfrenta un problema grave y no hay otra forma mejor de resolverlo.

todavía no lo has pillado.

relee el primer post

y relee tu respuesta, y si todavia piensas que no has metido la pata hasta el fondo, pues chico mas no puedo decir

esta parte me gusta


pues eso, que siga buscando trafico en el puerto 25  :xD

warcry.

Si lo he pillado que no le reporta ningún trafico al puerto 25 se le ha dado varias soluciones al usuario que intente a través de otros puerto no se que mas recomendarle.

Si tu sabes la solución mejor que nosotros aportarla y deja de tocar las pelotas al personal.

1. Mi servidor de correo es Microsoft Exchange
2.Todo el trafico de la red inbound y outbound pasa sobre un router Sonicwall NSA 3500
3.En la regla del firewall se estableció que solamente el servidor pueda enviar correos por SMTP.
4. Ya me meti en los Knowledge Base de Sonicwall para verificar que la regla de firewall este correcta, y asi es.
5. Tambien tenemos un Email Security de Sonicwall y en el mismo no figuran correos de salida con magnitud a gran escala como para poder identificar ahi al spamer.

Voy a probar usar el Wireshark con el puerto 587 a ver si me muestra algo

esto y esto no me cuadra, si tienes tu servidor configurado para mandar solo por el puerto 25, no puede ser que no detectes ningun trafico  :huh:

exchange puede trabajar de muchas maneras

https://support.microsoft.com/es-es/kb/551009


yo soy partidario de configurar primero el firewall de tu router (si lo permite) o si tienes un firewall de cabecera (todo el trafico que salga al exterior pasa obligatoriamente por este firewall) para que solo la ip de tu servidor pueda acceder a todos los distintos puertos que pueda necesitar y para el resto de ip, esos puertos capados, con eso te evitas la salida de spam por tu ip publica. y luego ya mas tranquilamente te dedicas a buscar el origen.