Discussion:
[lq:aide] monter un serveur pour trouver origine d'un bot de spam
kris duff
2007-08-18 02:45:29 UTC
Permalink
Bonjour,

Je suis nouvellement responsable TI dans la compagnie
et je viens de recevoir l'appel du dept de securite de
notre ISP.

Il m'a dit qu'on envoyait du spam de viagra dans des
documents pdf. On a beaucoup d'ordinateurs dans la
compagnie et il faut maintenant trouver l'origine...
Notre antivirus s'installe automatiquement des qu'on
installe un ordi sur le domaine, donc je prends pour
acquis que l'anti virus n'a rien vu... On a commence
par bloquer le port 25 en sortie. Mais il faut
trouver la source du probleme. J'ai pense me monter
un serveur linux pour faire du sniff.

Quels outils me conseillez-vous de mettre sur le
serveur pour me permettre d'identifier notre ami le
bot ?

Merci des coneils!


Ask a question on any topic and get answers from real people. Go to Yahoo! Answers and share what you know at http://ca.answers.yahoo.com
Tsvetan Petkov
2007-08-18 04:02:54 UTC
Permalink
Salut Kris,
Post by kris duff
Bonjour,
Je suis nouvellement responsable TI dans la compagnie
et je viens de recevoir l'appel du dept de securite de
notre ISP.
Il m'a dit qu'on envoyait du spam de viagra dans des
documents pdf.
On a beaucoup d'ordinateurs dans la
compagnie et il faut maintenant trouver l'origine...
Notre antivirus s'installe automatiquement des qu'on
installe un ordi sur le domaine, donc je prends pour
acquis que l'anti virus n'a rien vu... On a commence
par bloquer le port 25 en sortie. Mais il faut
trouver la source du probleme. J'ai pense me monter
un serveur linux pour faire du sniff.
Ah ça dépende de la topologie de réseau et l'équipement que vous
utilisez.
Ce que tu dois fair normalement est d'installer la machine avec la
quelle tu vas fair de sniffing, entre ton ISP et le réseau pour, être
sure que tout le trafic va passer par le sniffer.
Post by kris duff
Quels outils me conseillez-vous de mettre sur le
serveur pour me permettre d'identifier notre ami le
bot ?
Comme des outils tu peux utiles tcpdump, tethereal ou iptraf.
Le tcpdump et le tethereal sont des outils "il faut maîtriser" ;)
Les iptraf(trÚs facile) de l'autre cÎté est pour observation de ton
trafique (sources, destinations, protocoles, vitesse, nmbr paquets par
sec etc.) et il a un interface basé sur ncurses, tu peux utiliser des
filtres pour examiner le trafique sur certaines critÚres. Pour fair une
analyse "Qui fait de spam?" je pense que ça sera suffisant.
Post by kris duff
Merci des coneils!
a+,
Tsvétan.
Pascal Schneider
2007-08-18 06:49:24 UTC
Permalink
Salut,

La première chose à faire et de logger le trafic smtp (ou autre) que tu
utilise pour les mails et ensuite de regarder l'ip qui fait le plus de
requêtes. Cela te permettra déjà de dégrossir le problème. Ensuite, tu
enlève le poste du réseau et tu nettoie.

Sache quand même que ce n'est pas parce quelqu'un reçoit un spam de toi
qu'il vient de toi. L'idéal serai déjà de demander un spam original et d'en
vérifier la provenance car si le Spam ne vient pas de chez toi (même si il
porte ton adresse mail), tu va galérer des heures pour rien.

A+

Pascal

Salut Kris,
Post by kris duff
Bonjour,
Je suis nouvellement responsable TI dans la compagnie
et je viens de recevoir l'appel du dept de securite de
notre ISP.
Il m'a dit qu'on envoyait du spam de viagra dans des
documents pdf.
On a beaucoup d'ordinateurs dans la
compagnie et il faut maintenant trouver l'origine...
Notre antivirus s'installe automatiquement des qu'on
installe un ordi sur le domaine, donc je prends pour
acquis que l'anti virus n'a rien vu... On a commence
par bloquer le port 25 en sortie. Mais il faut
trouver la source du probleme. J'ai pense me monter
un serveur linux pour faire du sniff.
Ah ça dépende de la topologie de réseau et l'équipement que vous
utilisez.
Ce que tu dois fair normalement est d'installer la machine avec la
quelle tu vas fair de sniffing, entre ton ISP et le réseau pour, être
sure que tout le trafic va passer par le sniffer.
Post by kris duff
Quels outils me conseillez-vous de mettre sur le
serveur pour me permettre d'identifier notre ami le
bot ?
Comme des outils tu peux utiles tcpdump, tethereal ou iptraf.
Le tcpdump et le tethereal sont des outils "il faut maîtriser" ;)
Les iptraf(très facile) de l'autre côté est pour observation de ton
trafique (sources, destinations, protocoles, vitesse, nmbr paquets par
sec etc.) et il a un interface basé sur ncurses, tu peux utiliser des
filtres pour examiner le trafique sur certaines critères. Pour fair une
analyse "Qui fait de spam?" je pense que ça sera suffisant.
Post by kris duff
Merci des coneils!
a+,
Tsvétan.
Benjamin Vanheuverzwijn
2007-08-18 12:05:56 UTC
Permalink
Bonjour,

Je ne suis pas callé dans le domaine, mais voici deux outils d'analyses de
trafic que je connais !

ntop - une application qui analyse le réseau en temps réel. Un peu comme top
pour les processus, c'est NetworkTOP. Il contient une interface web pour
visualiser l'information. En faisant du port mirroring avec tes switch, tu
pourrais brancher des machines qui roule ntop pour analyser. -
http://www.ntop.org/

ngrep - une application qui permet de scanner le trafic qui sort du poste et
d'en extraire ce qui match une expression régulière, à la grep pour un
fichier. NetworkGREP

Bonne chance !
Post by Pascal Schneider
Salut,
La première chose à faire et de logger le trafic smtp (ou autre) que tu
utilise pour les mails et ensuite de regarder l'ip qui fait le plus de
requêtes. Cela te permettra déjà de dégrossir le problème. Ensuite, tu
enlève le poste du réseau et tu nettoie.
Sache quand même que ce n'est pas parce quelqu'un reçoit un spam de toi
qu'il vient de toi. L'idéal serai déjà de demander un spam original et d'en
vérifier la provenance car si le Spam ne vient pas de chez toi (même si il
porte ton adresse mail), tu va galérer des heures pour rien.
A+
Pascal
Salut Kris,
Post by kris duff
Bonjour,
Je suis nouvellement responsable TI dans la compagnie
et je viens de recevoir l'appel du dept de securite de
notre ISP.
Il m'a dit qu'on envoyait du spam de viagra dans des
documents pdf.
On a beaucoup d'ordinateurs dans la
compagnie et il faut maintenant trouver l'origine...
Notre antivirus s'installe automatiquement des qu'on
installe un ordi sur le domaine, donc je prends pour
acquis que l'anti virus n'a rien vu... On a commence
par bloquer le port 25 en sortie. Mais il faut
trouver la source du probleme. J'ai pense me monter
un serveur linux pour faire du sniff.
Ah ça dépende de la topologie de réseau et l'équipement que vous
utilisez.
Ce que tu dois fair normalement est d'installer la machine avec la
quelle tu vas fair de sniffing, entre ton ISP et le réseau pour, être
sure que tout le trafic va passer par le sniffer.
Post by kris duff
Quels outils me conseillez-vous de mettre sur le
serveur pour me permettre d'identifier notre ami le
bot ?
Comme des outils tu peux utiles tcpdump, tethereal ou iptraf.
Le tcpdump et le tethereal sont des outils "il faut maîtriser" ;)
Les iptraf(très facile) de l'autre côté est pour observation de ton
trafique (sources, destinations, protocoles, vitesse, nmbr paquets par
sec etc.) et il a un interface basé sur ncurses, tu peux utiliser des
filtres pour examiner le trafique sur certaines critères. Pour fair une
analyse "Qui fait de spam?" je pense que ça sera suffisant.
Post by kris duff
Merci des coneils!
a+,
Tsvétan.
--
Liste de diffusion aide
http://www.linux-quebec.org/mailman/listinfo/aide
--
Benjamin Vanheuverzwijn

Google Talk/Jabber - ***@gmail.com
http://vanheu.ca
Leif Thande
2007-08-18 13:40:16 UTC
Permalink
J'essaierais pas ntop pour commencer moi aussi. Un petit scan pour pdf
sur le port 25 devrait permettre de trouver l'ordinateur fautif assez
rapidement ( avec Wireshark par exemple )
Patrick Demonguères
2007-08-18 16:54:28 UTC
Permalink
Je confirme le point de Pascal!
J'ai été réguliÚrement spammé par Leif, un gard de cette liste, durant
ces derniers mois. Mais cela ne venait pas de son ordinateur, donc il
peut y avoir usurpation d'identité. Je te conseille donc de faire comme
Pascale : récupÚre un Spam original, analyse son header et regarde par
où il a transité et de quelle adresse IP il provient. Tu sauras déjà si
cela vient de ton entreprise.

Patrick
Sache quand même que ce n'est pas parce quelqu'un reçoit un spam de toi
qu'il vient de toi. L'idéal serai déjà de demander un spam original et d'en
vérifier la provenance car si le Spam ne vient pas de chez toi (même si il
porte ton adresse mail), tu va galérer des heures pour rien.
A+
Pascal
kris duff
2007-08-19 13:01:12 UTC
Permalink
Merci a tous pour vos conseils.

Je vais me monter mon petit serveur directement entre
notre routeur et notre switch principale.

Pour ce qui est de la provenance du spam, j'espere que
notre ISP est assez intelligent pour faire la
difference entre une adresse email source et une
adresse IP source !

Thx!
Post by Patrick Demonguères
Je confirme le point de Pascal!
J'ai �t� r�guli�rement spamm� par Leif, un
gard de
Post by Patrick Demonguères
cette liste, durant
ces derniers mois. Mais cela ne venait pas de son
ordinateur, donc il
peut y avoir usurpation d'identit�. Je te
conseille
Post by Patrick Demonguères
donc de faire comme
Pascale : r�cup�re un Spam original, analyse son
header et regarde par
o� il a transit� et de quelle adresse IP il
provient. Tu sauras d�j� si
cela vient de ton entreprise.
Patrick
Le samedi 18 ao�t 2007 � 08:49 +0200, Pascal
Sache quand m�me que ce n'est pas parce
quelqu'un
Post by Patrick Demonguères
re�oit un spam de toi
qu'il vient de toi. L'id�al serai d�j� de
demander
Post by Patrick Demonguères
un spam original et d'en
v�rifier la provenance car si le Spam ne vient
pas
Post by Patrick Demonguères
de chez toi (m�me si il
porte ton adresse mail), tu va gal�rer des
heures
Post by Patrick Demonguères
pour rien.
A+
Pascal
--
Liste de diffusion aide
http://www.linux-quebec.org/mailman/listinfo/aide
Be smarter than spam. See how smart SpamGuard is at giving junk email the boot with the All-new Yahoo! Mail at http://mrd.mail.yahoo.com/try_beta?.intl=ca
Loading...