[elektro] vírus levelezget

[Acs Gabor]

Wireshark-kal itt, a saját gépemen.
Ilyen port-mirror dolgot épp a múltkor játszottam valahol, csak ott volt 
ilyen izmos switch, nekem az nincs.

Gondoltam rá én is, hogy a szolgáltatót is le kéne checkelni amit mond, 
mert ő azt állítja, 'ömlik' a spam tőlem, nálam meg nincs SMTP forgalom, 
és ugye a deliveri fail levelekben sem az én e-mail címem van.
Akkor szerintem az a legvalószínűbb, hogy valahogy kinyerte a vírus a 
login adataimat, és máshonnan küldözget az én szolgáltatóm szerverén 
keresztül. Mivel egyszerre jelent meg mindkét domainemnél ez a dolog, az 
is ezt valószínűsíti.
Tehát jó eséllyel az MSE vírusírtó beengedett valamit, ami kinézte a TB 
adatbázisából ezeket az adatokat. Most az a kérdés, hogy ha 
megváltoztatom a jelszavakat, honnan fogom tudni, hogy még mindig 
fertőzött a TB, és azt is meg fogja kapni a vírus-szerver, vagy nem?

Akarok még futtatni live DVD-ről egy Avira scan-t, azal megkerülöm az 
oprendszerem, csak az eléggé hosszú idő.

Gábor


2012.12.07. 12:49 keltezéssel, Móczik Gábor írta:
> 2012.12.07. 12:19 keltezéssel, Acs Gabor írta:
>> Nézem protokoll analizátorral a gépem, és SMTP csak akkor megy, ha én
>> küldök valamit, egyébként nem.
> Mivel nézed, hol?
>
> Kereszt-teszt:
> - húzd ki a géped (tudtuk nélkül), és kérdezd meg, hogy még mindig
> spamel-e? :-)  (talán nem olvassák ezt a listát)
>
> - nézd a forgalmat másik gépről. Ez nem könnyű, ha nem vagy ilyenekre
> berendezkedve: kell hozzá egy switch amiben van "mirror traffic" opció
> és a gépen promiscuous módba kell tenni a kártyát, vagy kell egy gép két
> hálókártyával, azon átvinni a forgalmat és azon nézni.
>
> -----------------------------------------
>            elektro[-flame|-etc]
>