Existe alguna forma de encontrar al spamer en mi red?

Iniciado por Ytsejam92, 15 Septiembre 2016, 17:43 PM

0 Miembros y 1 Visitante están viendo este tema.

Ytsejam92

Buenas Colegas

Mi ip pública figura en lista de spam desde hace una semana, no estoy pudiendo identificar al equipo infectado en mi red, la cuestion es así: (Voy a tratar de ser claro)

El equipo infectado envía correos con un nombre de dominio diferente al de la organizacion a la cual trabajo usando mi IP pública, es decir mi dominio es ejemplo1@MiDominio.com y el reporte que me envian de la lista RBL me dice lo siguiente: que desde mi IP pública se envía spam DESDE la direccion de correo ejemplo2@dominioExterno.com

Existe alguna forma de encontrar al spamer en mi red?

Estuve usando wireshark para escuchar al puerto
25, pero no me reporta ningun trafico desde el mismo.

Agradezco sus comentarios de ayuda

[Arg] $triker;

Los paquetes que Wireshark capture depende de cómo lo estés configurando.
Podrías usar un programa para escanear todas las IPs en el rango de la máscara para saber todas las IPs locales a las cuales tu PC tiene contacto.
Si no, fijate en el router. El router debería de tener una pantalla con todos los nodos conectados a la red.
Si no, considerá la posibilidad de que haya un software haciendo esto en segundo plano desde alguna de tus computadoras.
8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--

Ytsejam92

A ver si me das una mano con el tema del filtro, el que estuve usando es:
tcp.port == 25 || udp.port == 25

Si conoces el filtro correcto me avisas por favor

El_Andaluz

Procedimiento:

* Ejecutamos wireshark
* Vamos a "Capture Options".
* Especificamos en que tarjeta de red queremos "escuchar"
* Como realmente no queremos escuchar todos los paquetes, sino que solo los que son de correo electrónico, ponemos en el cuadro "Capture Filter": "src or dst port 25". Con esto nos ahorraremos leer un montón de paquetes que no nos interesan, ganaremos en tiempo y recursos del sistema.
* Si queremos podemos guardar las capturas en un archivo. No es obligatorio.
http://img525.imageshack.us/img525/2556/manim01.jpg


* Le damos a "Start"... y a esperar. A medida que vayan saliendo paquetes analizamos el contenido
* Si alguien envía un correo electrónico recibiremos una captura como esta:
http://img443.imageshack.us/img443/6923/manim02.jpg



Donde está el cuadro rojo saldrán las IP de origen, y donde el azul las de destino. Basta con comprobar si el correo es real o SPAM. En ese caso miramos cual es la IP de origen y ... ¡YA HEMOS IDENTIFICADO AL CULPABLE!

http://www.forospyware.com/t343599.html

warcry.

Cita de: El_Andaluz en 16 Septiembre 2016, 00:03 AM
"Capture Filter": "src or dst port 25".

CitarAlgunos servidores SMTP soportan el acceso autenticado en otro puerto que no sea 587 o 25 para permitir a los usuarios conectarse a ellos, incluso si el puerto 25 está bloqueado, pero 587 es el puerto estándar y ampliamente apoyada por los usuarios enviar correo nuevo.

https://es.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

no digo na que luego me regañan  :silbar:
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

El_Andaluz

#5
Citarno digo na que luego me regañan  :silbar:

Que es lo que hecho mal ? Bueno pues que revise los puertos 587 y el 465.


Otra cosa se puede conectar vía telnet al puerto 25 y sin autenticar trata de enviar correo a hotmail, yahoo, etc, si tu server está bien configurado no te debe permitir hacer esto.


Hay una herramienta que se llama pflogsumm, es muy útil ya que te genera un reporte que te permite detectar de manera más fácil algún problema.

warcry.

Cita de: El_Andaluz en 16 Septiembre 2016, 15:43 PM
Que es lo que hecho mal ? Bueno pues que revise los puertos 587 y el 465.


y si se ha montado un servidor POP o IMAP  :silbar:

CitarPuerto : Dejar por defecto (110 para POP, 143 para IMAP, 995 para POP SSL, o 993 para IMAP SSL).

https://wiki.gandi.net/es/mail/standard-settings

asi que recomendarle que sniffe el trafico del puerto 25 entrada/salida cuando ya casi ningun servidor de correo lo utiliza para mandar correos ademas de estar filtrado por la mayoria de ISP ha sido una idea co.jonuda para hacer que pierda el tiempo.
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

El_Andaluz

#7
warcry.
Citary si se ha montado un servidor POP o IMAP  :silbar:

Hombre no somos adivinos a ver si se pasa el usuario y nos comenta algo mas y le sirve o no,  le estamos intentando ayudar en lo que se puede.


Citarasi que recomendarle que sniffe el trafico del puerto 25 entrada/salida cuando ya casi ningun servidor de correo lo utiliza para mandar correos ademas de estar filtrado por la mayoria de ISP ha sido una idea co.jonuda para hacer que pierda el tiempo.

En el mismo enlace que tu me has pasado pone esto:

Puerto : 25 par defecto, 587 si su proveedor de acceso Internet filtra el puerto 25 (Telefonica, Orange...), o 465 si utiliza SSL. En todos los casos, puede probar los tres y utilizar el que funcione.

Seguridad TLS o SSL : sí (aconsejado). Si los diferentes puertos no funcionan, vuelva a intentarlo con el 25 o 587 (STARTTLS) con la seguridad desactivada.

PalitroqueZ

Cita de: Ytsejam92 en 15 Septiembre 2016, 17:43 PM
Buenas Colegas

Mi ip pública figura en lista de spam desde hace una semana, no estoy pudiendo identificar al equipo infectado en mi red, la cuestion es así: (Voy a tratar de ser claro)

El equipo infectado envía correos con un nombre de dominio diferente al de la organizacion a la cual trabajo usando mi IP pública, es decir mi dominio es ejemplo1@MiDominio.com y el reporte que me envian de la lista RBL me dice lo siguiente: que desde mi IP pública se envía spam DESDE la direccion de correo ejemplo2@dominioExterno.com

Existe alguna forma de encontrar al spamer en mi red?

Estuve usando wireshark para escuchar al puerto
25, pero no me reporta ningun trafico desde el mismo.

Agradezco sus comentarios de ayuda


nuevamente hay que suponer muchas cosas en este tipo de temas, puesto que no dicen nada sobre como tienen montada la red, que recursos utiliza, etc.

suponiendo que tienes un equipo (router, server, etc) por el que entra y sale el tráfico, es fácil saber mirando los diferentes servicios que se encargan de monitorear la red, y si no los tiene, pues recomiendo que lo instale, ya que enfrenta un problema grave y no hay otra forma mejor de resolverlo.

"La Economía planificada lleva de un modo gradual pero seguro a la economía dirigida, a la economía autoritaria y al totalitarismo" Ludwig Erhard

warcry.

Cita de: El_Andaluz en 16 Septiembre 2016, 16:34 PM
warcry.
Hombre no somos adivinos a ver si se pasa el usuario y nos comenta algo mas y le sirve o no,  le estamos intentando ayudar en lo que se puede.


En el mismo enlace que tu me has pasado pone esto:

Puerto : 25 par defecto, 587 si su proveedor de acceso Internet filtra el puerto 25 (Telefonica, Orange...), o 465 si utiliza SSL. En todos los casos, puede probar los tres y utilizar el que funcione.

Seguridad TLS o SSL : sí (aconsejado). Si los diferentes puertos no funcionan, vuelva a intentarlo con el 25 o 587 (STARTTLS) con la seguridad desactivada.

todavía no lo has pillado.

relee el primer post
CitarEstuve usando wireshark para escuchar al puerto
25, pero no me reporta ningun trafico desde el mismo.

y relee tu respuesta, y si todavia piensas que no has metido la pata hasta el fondo, pues chico mas no puedo decir

esta parte me gusta

CitarDonde está el cuadro rojo saldrán las IP de origen, y donde el azul las de destino. Basta con comprobar si el correo es real o SPAM. En ese caso miramos cual es la IP de origen y ... ¡YA HEMOS IDENTIFICADO AL CULPABLE!

pues eso, que siga buscando trafico en el puerto 25  :xD
HE SIDO BANEADO --- UN PLACER ---- SALUDOS