[HaBo]

OneOfOne

Hallo HaBo

Ich hoffe Ihr könnt mir helfen. Das Problem ist folgendes:
Der Provider hat den Port 25 zu gemacht, weil über die Leitung nachweislich Spam geschickt wird. Nun hängt aber ein kleines Netzwerk an der Leitung. An allen Rechnern (Windows XP und Vista) wurde der SMTP Port in den E-Mail Programmen auf 587 geändert und Malwarebytes drüber gejagt. Da ich überall lese, dass aber oft nur Format C hilft, möchte ich doch wenigstens den oder die entsprechenden PCs ausfindig machen, die den Spam raushauen. Ich dachte mir, dies geht am einfachsten, indem ich den SMTP-Port 25 überwachen und protokollieren lasse. Wo der anschlägt, ist noch Schadsoftware drauf.
Jetzt suche ich eine Software die das kann. Entweder auf jedem Rechner einzeln installiert oder auf nur einem, welcher mir dir IP des Rechners mitteilt, wo der Port geöffnet wurde. Dann kann ich in einer Logdatei sehen, welchen Rechner ich Notfalls formatieren muss.

Wireshark habe ich mir mal geladen, aber keine Protokoll Datei gefunden. Es geht ja auch nur um den Port 25.

Ich hoffe, ich habe alles deutlich genug beschrieben und jemand kann mir helfen.

LG OneOfOne

Chromatin

Welche Leitung?
Mails werden nicht von Port 25 aus versendet, auszer es ist ziemlich daemliche Malware, was nahezu auszuschlieszen ist.

Wenn du den smtp Port deiner PCs aenderst, hast du also auch den smtp Port deines servers geaendert (wie kriegt der dann noch emails rein?)?


Untersage zunaechst das versenden von Emails.
Haeng dich zwischen jeden PC oder an Hub/switch (im monitor mode, wenn er hat) und gucke nach Zielport 25.

Ansonsten kannste das bei fleisziger malware schon an den trarrifleuchten am switch/NIC erkennen (zumindest ein Indiz).

No!

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/

lightsaver

Hmmm, entweder bringst du grad was durcheinander oder ich.
SMTP hat den Standardport 25 und ist für den Mailversand zuständig.
POP/IMAP hat den Standardport 110/143 und ist für den Mailempfang zuständig.

Kannst du nun nochmal kurz erklären, wieso nur dämliche Malware Port 25 zum Versenden nehmen würde? Also verstehe das bitte nicht als böse gemeinte Frage sondern wirklich aus Interesse, weil kann ja einen guten Grund geben, der mir gerade verborgen bleibt.

Genauso verstehe ich deine Äußerung nicht "wie kriegt der dann noch emails rein?", denn für den Empfang nutzt man nicht SMTP sondern POP/IMAP


So, nun noch kurz zum Thema:

Wie ist das Netz aufgebaut? Hast du einen Zentralen Server, über den der gesamte Traffic läuft oder ist da im Prinzip nur ein Router?

Bei einem Server solltest du z.B. mit nmap den Port beobachten können. Ob du das in eine Datei aufzeichnen kannst, weiß ich aber nicht.

Router bieten dir gelegentlich auch die Möglichkeit, offene Verbindungen anzuzeigen. Dort könntest du dann auch mal gucken. Wenn das bei dir nicht geht, kannst du immer noch jeden einzelnen Rechner mit nmap ansehen.

Der Tipp mit dem Anschließen des Rechners an einen Hub (darf kein Switch sein!) ist übrigens auch gut, da du so ausschließen kannst, dass dir z.B. ein Rootkit einfach nur vormacht, dass auf dem Port nichts läuft.

easteregg

nein, port 25 is der smtp ... der nimmt die nachrichten entgegen.
der muss darauf laufen, weil das nunmal der standard ist und andere mailsender ja sonst nicht wissen wo das zeug hinsoll!

versenden kannst du mails von jedem xbeliebigen port, egal ob port 0,25 oder 666

mailempfang hat hingegebn mit imap oder pop nix zu tun, das sind nur geschichten, wie clients ihre mails von einem server abfragen, aber zum empfang muss der mailserver auf port 25 horchen

und malware schickt mit sicherheit von irgendwelchen hohen ports die meistens nicht geblockt sind und versucht da alle möglichen durch.

__________________

Chromatin

Wie easteregg schon sagte, port 25 dient dem Empfang von Mails am Mailserver

POP und IMAP dient auch nicht dem Empfang, sondern dem abholen der Mails von dem empfangenden Server

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/

OneOfOne

Vielen Dank für die schnellen Antworten, aber jetzt bin ich noch verwirrter als vorher.

Postausgang Smtp = Port 25 oder 465 oder 587 Versand von meinem Rechner. Auf den empfangenden Mailserver von einem Provider hab ich doch keinen Zugriff.
Posteingang Pop3 = Port 110 Empfang auf meinem Rechner.
So zumindest sind die Einstellungen von Outlook, Oulook Express und Windows Mail. Andere Programme werden nicht genutzt.

Um die Frage von lightsaver noch zu beantworten.
Hier steht kein Server. Alles läuft über einen Router und einigen Switches mit einer einfachen Dateifreigabe.

Bei den vielen Programmen die ich mir geladen habe, war auch eines (glaube Wireshark) um die offenen Ports zu sehen. Aber der Port geht doch nur dann auf, wenn eine Mail verschickt wird. Danach iss der wieder zu. Deswegen die protokollierung, falls die Software zeitlich bedingt was sendet. Geht das überhaupt?

Aber das sollte alles hinfällig sein, wenn die "böse Software" eh jeden Port nutzen kann, wie easteregg geschrieben hat. Die Mail Programme können dies jedenfalls nicht. Hab ich probiert.

benediktibk

Kurz zum Verständnis: Zum Versenden einer E-Mail musst du eine Verbindung zum Mailserver auf dem Port 25 öffnen. Aber nur weil dein Gegenüber für die Verbindung Port 25 verwendet, muss das bei dir nicht auch so sein. Deine Verbindung kann zum Beispiel vom Port 6479 (oder was auch sonst immmer) aus weg gehen:
mail.org:25 <------> 192.168.1.1:32569

Um den gesamten Verkehr mit zu bekommen könntest du auch vor dem jeweiligen Rechner einen handgefertigten Router dazwischen hängen, der mittels iptables alles routet, bis auf Verkehr zu Port 25. Den könntest du dann leicht loggen. Für diesen Router reicht dann auch so ziemlich jeder Kübel aus, vorzugsweise ein Laptop, da mobil.

mfg benediktibk

beavisbee

ich glaub, du hast das Prinzip, des Mail-Versandes noch nicht ganz verstanden...
also:

Angenommen, du hast eine Mail-Adresse bei GMX (einfach, um das Beispiel mal an festen Adressen und Ports festzumachen) und deine Mail-Adresse lautet Hans.Wurst@gmx.de.

Mails empfangen:
Mails senden:
Soll heißen, wenn du eine Mail verschickst, sendest du sie an den Post-Ausgangsserver deines Mail-Providers (und da ist eben der Port 25 fest!) und dieser kümmert sich dann drum, die Mail zuzustellen.


edit: mist, zu langsam...

storm_chaser

Hallo OneOfOne,

erstmal ein herzliches Beileid von mir. Jedes mal stimmt es mich traurig, dass wieder einmal mehr so viel Energie in Blindleistung gesteckt wird malware zu verbreiten und anderen Arbeit zu verschaffen Sie zu finden, ekelhaft.

Entgegen anderer Aussagen im Thread haben Deine Computer wohl über Port 25 die mails verschickt, sonst hätte der Provider diesen nicht geschlossen.
Der Port 25 wäre auch definitiv der Serverport, der standardmäßig genutzt wird.

Das würde ich auch tun. Formatieren ist auch nur eine Flucht!

Das was Du in Deinem Netzwerk suchst sind tcp Pakete mit gesetztem syn Flag und destination port 25. Mit Wireshark z.B. kannst Du nach diesen filtern.
Um den Datenverkehr zu überwachen, musst Du z.B. Wireshark an einer Stelle einsetzen wo der gesamte Datenverkehr Deines Netzwerks vorbeikommt. Wie chromatin: idealerweise hast Du einen Switch mit mirrorport Funktion, und hängst Dein Wireshark System unter spiegelung aller anderen Ports auf diesen, daran. Wenn das keine Lösung ist, kannst Du es mit arp poisoning versuchen, allerdings ist diese Option nicht unbedingt gentleman-like
Rat beschreibt hier :
Mit einer MITM nach Malware suchen
wie das klappt.

Ich hoffe, das bringt Dir jetzt was....

OneOfOne

Und ein erneutes Danke für die Erklärungen.

Einen kleinen Teilerfolg konnte ich zumindest schon verbuchen. Ein Rootkit (Der eliminiert geglaubt schien) wurde nun von mir per Bart-PE und Registry Tools endgültig vernichtet.

Das was Rat beschreibt, ist im ersten Moment noch etwas unverständlich, aber ich werds mir nochmal genauer anschauen.

Der Provider hat uns mittlerweile auch einen Header so einer E-Mail geschickt. Also denke ich, die wussten genau was sie machen.

Die Switche haben diese Funktion leider nicht. Aber ich könnte einen Laptop direkt zwischen Router und dem ersten Verteiler ins Netzwerk setzen. Somit habe ich ja den gesamten Verkehr nach außen. Auf den Lappi hau ich den Wireshark. Leider gestattet mir die Zeit das ganze erst nach Ostern. Also genug Zeit sich mit dem Wireshark nochmal ganz genau auseinander zu setzen.

lightsaver

@ chromatin und easteregg:

Es kommt darauf an, von welcher Seite man das mit SMTP und POP sieht. Ihr beschreibt die Serverseite, nach der Beschreibung muss man aber die Clientseite betrachten. Der Provider hat ja Port 25 geschlossen, also läuft dort der Mailserver. Somit wird SMTP vom Threadersteller also als Mailversand verwendet.

sw33tlull4by

Clients wie Thunderbird bieten auch eine Verschlüsselung für SMTP an. dann liegt der Port zwischen 400-500.

__________________
Nur die Schwachen klammern sich an die Moral.

Kill my daemons and my angels will follow them.