---

Jeg sad netop rutinemæssigt og overvågede logfilen fra min firewall
(iptables) og så flere linier som denne:
Aug 7 23:15:15 tleilax kernel: Dropwall: IN=eth1 OUT=eth0 SRC=192.168.1.10
DST=81.7.113.221 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=62305 DF PROTO=TCP
SPT=3264 DPT=25 WINDOW=64240 RES=0x00 SYN URGP=0

Min arbejdsstaion (windows 2000) har adresse 192.168.1.10 og den sender
angiveligt til adresse 81.7.113.221 på port 25 (SMTP).
Jeg undrede mig naturligvis over at jeg forsøgte at sende post helt uden at
vide at jeg havde noget at sende.
Et opslag på ip-adr. 81.7.113.221 gav ikke noget resultat, bortset fra at
den angiveligt tilhører en ADSL udbyder i Litauen, hvilket bekræftedes af
ripe.net; udbyder er: LIETUVOS-TELEKOMAS

Mit spørgsmål til gruppen er om der er andre der er rendt ind i samme
adresse og om årsagen er en kendt virus eller en trojansk hest eller...?
Jeg må indrømme at jeg er på bar bund.
Et opslag på http://www.moensted.dk gjorde mig ikke klogere (bortset fra at
adr, er BL grundet placering og at den ikke har en MX record!?), og google
gav heller ikke noget resultat.
Jeg kan naturligvis glæde mig over at min linuxbaserede firewall forhindrer
mig i at blive evt. ufrivillig spammer, men det ville nu være rart med en
forklaring på hvad der sker.

Det skal tilføjes at jeg har et antivirus program (norton) på min
arbejdsstation som opdateres jævnligt, samt at iptables er konfigureret til
at højst acceptere 15 (nye) udgående forbindelser pr. sekund på port 25..

Et tillægsspørgsmål er om nogen kender et link til et ethereal-lignende
program til windows 2K/XP (ethereal er et program der viser ind/ud-gående
netværks forbindelser, indhold af transmission etc.)
Helst opensource men alle forslag er meget velkomne!

Med Venlig Hilsen, og på forhånd tak for evt. hjælp,
Claus E. petersen

---

Den Thu, 7 Aug 2003 23:47:29 +0200 skrev Snurrberget:
>
>Et tillægsspørgsmål er om nogen kender et link til et ethereal-lignende
>program til windows 2K/XP (ethereal er et program der viser ind/ud-gående
>netværks forbindelser, indhold af transmission etc.)
>Helst opensource men alle forslag er meget velkomne!

Jeg bruger selv et genialt, meget ethereal-lignende program på win2k
der hedder... Tada... Ethereal

Mvh
Kent
--
NT er brugervenligt - det er bare brugerne der ikke kan finde ud af det
- en NT-administrator

---

> Jeg bruger selv et genialt, meget ethereal-lignende program på win2k
> der hedder... Tada... Ethereal

hrmm.... rømme... host....
jeg havde ikke overvejet at programmet fandtes til Windows platformen.
Tak for info!

Claus E. Petersen

---

Snurrberget wrote:
>
> Jeg sad netop rutinemæssigt og overvågede logfilen fra min firewall
> (iptables) og så flere linier som denne:
> Aug 7 23:15:15 tleilax kernel: Dropwall: IN=eth1 OUT=eth0 SRC=192.168.1.10
> DST=81.7.113.221 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=62305 DF PROTO=TCP
> SPT=3264 DPT=25 WINDOW=64240 RES=0x00 SYN URGP=0

Hvad sker der med pakken? DROP? Jeg mener -j REJECT --reject-with tcp-reset
ville være den rigtige handling. Under alle omstændigheder går jeg ud fra,
at der ikke bliver etableret nogen forbindelse, og så har du ikke ret meget
chance for, at finde ud af, hvad den ville sende. Du kunne evt. redirecte
forbindelsen til en dummy SMTP server, så du dermed kan se, præcis hvad den
ville sende.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

> Hvad sker der med pakken? DROP? Jeg mener -j REJECT --reject-with
tcp-reset
> ville være den rigtige handling. Under alle omstændigheder går jeg ud fra,
> at der ikke bliver etableret nogen forbindelse, og så har du ikke ret
meget
> chance for, at finde ud af, hvad den ville sende. Du kunne evt. redirecte
> forbindelsen til en dummy SMTP server, så du dermed kan se, præcis hvad
den
> ville sende.

Det er korrekt.
Jeg er træt af at sende klager til wanadoo o.l., så jeg forsøger bare at
indkredse hvilken windows applikation der laver "gris" i systemet.
Men du har ganske ret i at det ville være mere spændende at se /hvad/ den
laver.
Min dyrtkøbte erfaring siger at det er spammail, men man ved self. aldrig.
Tak for svaret.

Claus E. Petersen

---

Snurrberget skrev:

> Men du har ganske ret i at det ville være mere spændende at se /hvad/ >
den laver.

Prøv med Show Traffic (Open Source):

<URL: http://demosten.com/showtraf/ >

---

Peder Vendelbo Mikkelsen wrote:
>
> Snurrberget skrev:
>
> > Men du har ganske ret i at det ville være mere spændende at se /hvad/ >
> den laver.
>
> Prøv med Show Traffic (Open Source):

Det ændrer jo ikke på, at så længe den ikke får etableret en SMTP forbindelse,
vil den ingen mail sende. Uanset hvordan du overvåger kommunikationen kan du
ikke få øje på pakker, der ikke bliver sendt. Hvis man sætter en dummy SMTP
server op, som klienten kan snakke med, kan den jo lige så godt logge
trafikken. Så der er sådanset ikke brug for noget specielt program til at
logge trafikken.

Jeg har i øvrigt sådan en dummy SMTP server liggende. Den kan godt bruges i
det her tilfælde, men det kræver lige en passende regel i firewallen til at
sende trafikken til honeypoten. Og så skal man altså vide, hvad man gør.

http://www.daimi.au.dk/~kasperd/smtphoneypot.c

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

> Jeg har i øvrigt sådan en dummy SMTP server liggende. Den kan godt bruges
i
> det her tilfælde, men det kræver lige en passende regel i firewallen til
at
> sende trafikken til honeypoten. Og så skal man altså vide, hvad man gør.
>
> http://www.daimi.au.dk/~kasperd/smtphoneypot.c

Mange tak for koden.
Jeg tror ikke at jeg bruger den direkte, (Jeg koder primært i java), men det
gav mig en ide til en honypot server til udgående ikke autoriserede pakker
der ellers ryger i min dropwall.
P.t. er der en masse der går fra min arbejdsstation og ud på porte som 8080,
8888 etc.

Claus E. Petersen

---

Kasper Dupont skrev:

> Det ændrer jo ikke på, at så længe den ikke får etableret en SMTP
> forbindelse, vil den ingen mail sende.

Det har du ret i, jeg glemte at udgangspunktet var at forbindelsen blev
droppet i firewallen (hvis der oprettes mere end 15 (nye) per sekund).

> Hvis man sætter en dummy SMTP server op, som klienten kan snakke med,
> kan den jo lige så godt logge trafikken.

Naturligvis.

---

In article <bh6qdp.1tg.2@news.kommunalbastards.org>, Peder Vendelbo Mikkelsen wrote:
> Prøv med Show Traffic (Open Source):

Hvad skete der med netstat?

---

Christian E. Lysel skrev:

> Peder Vendelbo Mikkelsen wrote:
>> Prøv med Show Traffic (Open Source):

> Hvad skete der med netstat?

Ikke noget, den kan bare ikke fange trafikken og gemme den i en tekst-
fil til senere analyse. Jeg forstod Snurrberget, som om vedkommende øn-
skede at vide hvad der blev sendt og ikke kun hvem der blev sendt til.

---

> Prøv med Show Traffic (Open Source):
>
> <URL: http://demosten.com/showtraf/ >

Jeg siger mange tak.
En godt alternativ til windows netstat.

- Claus E. Petersen
>