elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Existe alguna forma de encontrar al spamer en mi red?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Existe alguna forma de encontrar al spamer en mi red?  (Leído 6,325 veces)
Ytsejam92

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Existe alguna forma de encontrar al spamer en mi red?
« en: 15 Septiembre 2016, 17:43 pm »

Buenas Colegas

Mi ip pública figura en lista de spam desde hace una semana, no estoy pudiendo identificar al equipo infectado en mi red, la cuestion es así: (Voy a tratar de ser claro)

El equipo infectado envía correos con un nombre de dominio diferente al de la organizacion a la cual trabajo usando mi IP pública, es decir mi dominio es ejemplo1@MiDominio.com y el reporte que me envian de la lista RBL me dice lo siguiente: que desde mi IP pública se envía spam DESDE la direccion de correo ejemplo2@dominioExterno.com

Existe alguna forma de encontrar al spamer en mi red?

Estuve usando wireshark para escuchar al puerto
25, pero no me reporta ningun trafico desde el mismo.

Agradezco sus comentarios de ayuda


En línea

[Arg] $triker;


Desconectado Desconectado

Mensajes: 380


¿Yo, tóxico?


Ver Perfil WWW
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #1 en: 15 Septiembre 2016, 18:01 pm »

Los paquetes que Wireshark capture depende de cómo lo estés configurando.
Podrías usar un programa para escanear todas las IPs en el rango de la máscara para saber todas las IPs locales a las cuales tu PC tiene contacto.
Si no, fijate en el router. El router debería de tener una pantalla con todos los nodos conectados a la red.
Si no, considerá la posibilidad de que haya un software haciendo esto en segundo plano desde alguna de tus computadoras.


En línea

8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--
Ytsejam92

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #2 en: 15 Septiembre 2016, 20:20 pm »

A ver si me das una mano con el tema del filtro, el que estuve usando es:
tcp.port == 25 || udp.port == 25

Si conoces el filtro correcto me avisas por favor
En línea

El_Andaluz


Desconectado Desconectado

Mensajes: 3.259



Ver Perfil
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #3 en: 16 Septiembre 2016, 00:03 am »

Procedimiento:

* Ejecutamos wireshark
* Vamos a “Capture Options”.
* Especificamos en que tarjeta de red queremos “escuchar”
* Como realmente no queremos escuchar todos los paquetes, sino que solo los que son de correo electrónico, ponemos en el cuadro “Capture Filter”: “src or dst port 25”. Con esto nos ahorraremos leer un montón de paquetes que no nos interesan, ganaremos en tiempo y recursos del sistema.
* Si queremos podemos guardar las capturas en un archivo. No es obligatorio.
http://img525.imageshack.us/img525/2556/manim01.jpg


* Le damos a “Start”… y a esperar. A medida que vayan saliendo paquetes analizamos el contenido
* Si alguien envía un correo electrónico recibiremos una captura como esta:
http://img443.imageshack.us/img443/6923/manim02.jpg



Donde está el cuadro rojo saldrán las IP de origen, y donde el azul las de destino. Basta con comprobar si el correo es real o SPAM. En ese caso miramos cual es la IP de origen y … ¡YA HEMOS IDENTIFICADO AL CULPABLE!

http://www.forospyware.com/t343599.html
En línea

warcry.


Desconectado Desconectado

Mensajes: 1.000


The Fallen Lords


Ver Perfil
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #4 en: 16 Septiembre 2016, 09:04 am »

“Capture Filter”: “src or dst port 25”.

Citar
Algunos servidores SMTP soportan el acceso autenticado en otro puerto que no sea 587 o 25 para permitir a los usuarios conectarse a ellos, incluso si el puerto 25 está bloqueado, pero 587 es el puerto estándar y ampliamente apoyada por los usuarios enviar correo nuevo.

https://es.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

no digo na que luego me regañan  :silbar:
En línea

Evolucionamos porque pensamos y tanto la paciencia como la perseverancia son las fuentes de las que se nutre el conocimiento ya que el saber no ocupa lugar pero ocupa tiempo

- - -      Página Web de Warcry      - - -
El_Andaluz


Desconectado Desconectado

Mensajes: 3.259



Ver Perfil
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #5 en: 16 Septiembre 2016, 15:43 pm »

Citar
no digo na que luego me regañan  :silbar:

Que es lo que hecho mal ? Bueno pues que revise los puertos 587 y el 465.


Otra cosa se puede conectar vía telnet al puerto 25 y sin autenticar trata de enviar correo a hotmail, yahoo, etc, si tu server está bien configurado no te debe permitir hacer esto.


Hay una herramienta que se llama pflogsumm, es muy útil ya que te genera un reporte que te permite detectar de manera más fácil algún problema.
« Última modificación: 16 Septiembre 2016, 16:00 pm por El_Andaluz » En línea

warcry.


Desconectado Desconectado

Mensajes: 1.000


The Fallen Lords


Ver Perfil
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #6 en: 16 Septiembre 2016, 16:12 pm »

Que es lo que hecho mal ? Bueno pues que revise los puertos 587 y el 465.


y si se ha montado un servidor POP o IMAP  :silbar:

Citar
Puerto : Dejar por defecto (110 para POP, 143 para IMAP, 995 para POP SSL, o 993 para IMAP SSL).

https://wiki.gandi.net/es/mail/standard-settings

asi que recomendarle que sniffe el trafico del puerto 25 entrada/salida cuando ya casi ningun servidor de correo lo utiliza para mandar correos ademas de estar filtrado por la mayoria de ISP ha sido una idea co.jonuda para hacer que pierda el tiempo.
En línea

Evolucionamos porque pensamos y tanto la paciencia como la perseverancia son las fuentes de las que se nutre el conocimiento ya que el saber no ocupa lugar pero ocupa tiempo

- - -      Página Web de Warcry      - - -
El_Andaluz


Desconectado Desconectado

Mensajes: 3.259



Ver Perfil
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #7 en: 16 Septiembre 2016, 16:34 pm »

warcry.
Citar
y si se ha montado un servidor POP o IMAP  :silbar:

Hombre no somos adivinos a ver si se pasa el usuario y nos comenta algo mas y le sirve o no,  le estamos intentando ayudar en lo que se puede.


Citar
asi que recomendarle que sniffe el trafico del puerto 25 entrada/salida cuando ya casi ningun servidor de correo lo utiliza para mandar correos ademas de estar filtrado por la mayoria de ISP ha sido una idea co.jonuda para hacer que pierda el tiempo.

En el mismo enlace que tu me has pasado pone esto:

Puerto : 25 par defecto, 587 si su proveedor de acceso Internet filtra el puerto 25 (Telefonica, Orange…), o 465 si utiliza SSL. En todos los casos, puede probar los tres y utilizar el que funcione.

Seguridad TLS o SSL : sí (aconsejado). Si los diferentes puertos no funcionan, vuelva a intentarlo con el 25 o 587 (STARTTLS) con la seguridad desactivada.
« Última modificación: 16 Septiembre 2016, 16:39 pm por El_Andaluz » En línea

PalitroqueZ


Desconectado Desconectado

Mensajes: 948



Ver Perfil
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #8 en: 16 Septiembre 2016, 16:58 pm »

Buenas Colegas

Mi ip pública figura en lista de spam desde hace una semana, no estoy pudiendo identificar al equipo infectado en mi red, la cuestion es así: (Voy a tratar de ser claro)

El equipo infectado envía correos con un nombre de dominio diferente al de la organizacion a la cual trabajo usando mi IP pública, es decir mi dominio es ejemplo1@MiDominio.com y el reporte que me envian de la lista RBL me dice lo siguiente: que desde mi IP pública se envía spam DESDE la direccion de correo ejemplo2@dominioExterno.com

Existe alguna forma de encontrar al spamer en mi red?

Estuve usando wireshark para escuchar al puerto
25, pero no me reporta ningun trafico desde el mismo.

Agradezco sus comentarios de ayuda


nuevamente hay que suponer muchas cosas en este tipo de temas, puesto que no dicen nada sobre como tienen montada la red, que recursos utiliza, etc.

suponiendo que tienes un equipo (router, server, etc) por el que entra y sale el tráfico, es fácil saber mirando los diferentes servicios que se encargan de monitorear la red, y si no los tiene, pues recomiendo que lo instale, ya que enfrenta un problema grave y no hay otra forma mejor de resolverlo.

En línea

"La Economía planificada lleva de un modo gradual pero seguro a la economía dirigida, a la economía autoritaria y al totalitarismo" Ludwig Erhard
warcry.


Desconectado Desconectado

Mensajes: 1.000


The Fallen Lords


Ver Perfil
Re: Existe alguna forma de encontrar al spamer en mi red?
« Respuesta #9 en: 16 Septiembre 2016, 20:25 pm »

warcry.
Hombre no somos adivinos a ver si se pasa el usuario y nos comenta algo mas y le sirve o no,  le estamos intentando ayudar en lo que se puede.


En el mismo enlace que tu me has pasado pone esto:

Puerto : 25 par defecto, 587 si su proveedor de acceso Internet filtra el puerto 25 (Telefonica, Orange…), o 465 si utiliza SSL. En todos los casos, puede probar los tres y utilizar el que funcione.

Seguridad TLS o SSL : sí (aconsejado). Si los diferentes puertos no funcionan, vuelva a intentarlo con el 25 o 587 (STARTTLS) con la seguridad desactivada.

todavía no lo has pillado.

relee el primer post
Citar
Estuve usando wireshark para escuchar al puerto
25, pero no me reporta ningun trafico desde el mismo.

y relee tu respuesta, y si todavia piensas que no has metido la pata hasta el fondo, pues chico mas no puedo decir

esta parte me gusta

Citar
Donde está el cuadro rojo saldrán las IP de origen, y donde el azul las de destino. Basta con comprobar si el correo es real o SPAM. En ese caso miramos cual es la IP de origen y … ¡YA HEMOS IDENTIFICADO AL CULPABLE!

pues eso, que siga buscando trafico en el puerto 25  :xD
En línea

Evolucionamos porque pensamos y tanto la paciencia como la perseverancia son las fuentes de las que se nutre el conocimiento ya que el saber no ocupa lugar pero ocupa tiempo

- - -      Página Web de Warcry      - - -
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines