Sniffing de paquets sur fortigate

 

Problème : notre adresse publique est listée sur abuseat.org. Plusieurs fois, des spams ont été envoyés à partir de notre réseau. Aucun message n’est plus accepté par office 365. Le message de reply à rcpt to est :

550 5.7.1 Service unavailable, Client host [X.X.X.X] blocked using Spamhaus. To request removal from this list see https://www.spamhaus.org/query/ip/X.X.X.X AS(1440) [DB8EUR05FT058.eop-eur05.prod.protection.outlook.com

Il faut donc trouver la machine incriminée.

Le firewall utilisé est un fortigate 100D et l’OS est 5.2

Solution

Il faut commencer par créer un filtre de capture de paquets. Sur la version 5.2 (si vous avez une autre version, l’url peut être différente)

https://[firewall mgmt IP]/p/firewall/sniffer/

Cliquer sur New



Choisir l’interface, cocher la case Enable Filers puis mettre 25 (port pour le smtp) et cliquer sur le bouton OK





Créer un filtre par interface

Lancer les captures. Sur la figure ci-dessus, on voit que 32 paquets ont été capturé sur l’interface Vlan-Infra et 13 sur Vlan-Users.

 

On peut télécharger les captures à n’importe quel moment en cliquant sur le bouton download à droite.

Si Wireshark est déjà installé, en double cliquant sur le fichier de capture, ce dernier sera ouvert par Wireshark.



En analysant la capture, on voit qu’effectivement une machine interne est entrain d’utiliser le port 25 pour envoyer de spams.

La machine infectée est dotée d’un antivirus (Kaspersky Endpoint Security 11.5) qui n’a rien détecté. A la recommandation de abuseat.org, Norton Power Eraser (https://support.norton.com/sp/static/external/tools/npe.html) a été téléchargé et exécuté sur cette machine. Il a détecté plusieurs fichiers .exe dans c:\programdata. Après nettoyage et redémarrage, le problème a disparu.

 


Commentaires

Posts les plus consultés de ce blog

Nom des services Windows en Français et en Anglais

Comment afficher le mot de passe d’une connexion wifi mémorisé sur une machine Windows

Analyse de Fourrier sur Excel