Sniffing de paquets sur fortigate

 

Problème : notre adresse publique est listée sur abuseat.org. Plusieurs fois, des spams ont été envoyés à partir de notre réseau. Aucun message n’est plus accepté par office 365. Le message de reply à rcpt to est :

550 5.7.1 Service unavailable, Client host [X.X.X.X] blocked using Spamhaus. To request removal from this list see https://www.spamhaus.org/query/ip/X.X.X.X AS(1440) [DB8EUR05FT058.eop-eur05.prod.protection.outlook.com

Il faut donc trouver la machine incriminée.

Le firewall utilisé est un fortigate 100D et l’OS est 5.2

Solution

Il faut commencer par créer un filtre de capture de paquets. Sur la version 5.2 (si vous avez une autre version, l’url peut être différente)

https://[firewall mgmt IP]/p/firewall/sniffer/

Cliquer sur New



Choisir l’interface, cocher la case Enable Filers puis mettre 25 (port pour le smtp) et cliquer sur le bouton OK





Créer un filtre par interface

Lancer les captures. Sur la figure ci-dessus, on voit que 32 paquets ont été capturé sur l’interface Vlan-Infra et 13 sur Vlan-Users.

 

On peut télécharger les captures à n’importe quel moment en cliquant sur le bouton download à droite.

Si Wireshark est déjà installé, en double cliquant sur le fichier de capture, ce dernier sera ouvert par Wireshark.



En analysant la capture, on voit qu’effectivement une machine interne est entrain d’utiliser le port 25 pour envoyer de spams.

La machine infectée est dotée d’un antivirus (Kaspersky Endpoint Security 11.5) qui n’a rien détecté. A la recommandation de abuseat.org, Norton Power Eraser (https://support.norton.com/sp/static/external/tools/npe.html) a été téléchargé et exécuté sur cette machine. Il a détecté plusieurs fichiers .exe dans c:\programdata. Après nettoyage et redémarrage, le problème a disparu.

 


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Nom des services Windows en Français et en Anglais

Nom long anglais Nom court Nom long français ActiveX Installer (AxInstSV) AxInstSV Programme d’installation ActiveX (AxInstSV) Adaptive Brightness SensrSvc Brillance adaptative Application Experience AeLookupSvc Expérience d’application Application Host Helper Service AppHostSvc Application Host Helper Service Application Identity AppIDSvc Identité de l’application Application Information Appinfo Informations d’application Application Layer Gateway Service ALG Service de la passerelle de la couche Application Application Management AppMgmt Gestion d’applications ASP.NET State Service aspnet_state Service d'état ASP.NET Background Intelligent Transfer Service BITS Service de transfert intelligent en arrière-plan Base Filtering Engine BFE Moteur de filtrage de base BitLocker Drive Encryption Service BDESVC Servic...
Lire la suite

Comment afficher le mot de passe d’une connexion wifi mémorisé sur une machine Windows

Image
Problème : Je me suis connecté une fois sur un réseau wifi à partir de mon PC. Plus tard, j’ai voulu me connecter en utilisant mon mobile mais le problème c’est que je ne me rappelle plus du mot de passe. Dans ce qui suit je vous montre comment récupérer le mot de passe sauvegardé sur le PC. Procédure Aller sur Centre Réseau et Partage (cliquer avec le bouton droit sur l'icone du wifi sur la barre de taches). Cliquer sur la connexion wifi Cliquer sur le bouton Propriétés sans fil. Choisir l’onglet Sécurité Cliquer sur la case à cocher Afficher les caractères
Lire la suite

Techniques de Recherche sur google

Image
L'histoire a commencé par deux jeunes chercheurs à Stanford qui ont travaillé sur un projet appelé "Digital Library" Sergey Brin (21 ans) et Larry Page (22 ans) Ils ont développé un puissant algorithme appelé PageRank (pour rendre hommage à Larry Page). Ce qui a permis à passer d'une simple machine en Lego remarquer au passage les couleurs utilisées par google à un des plus grands data centers au monde Le premier serveur utilisé par les fondateurs de google est maintenant exposé dans le musée de l’informatique de l’université de Stanford est composé de  10 disques durs de 4Go  (la capacité maximale à l’époque). (Voir: http://infolab.stanford.edu/pub/voy/museum/pictures/display/0-4-Google.htm) Et qui fait passer l'action de 85$US au lancement de la société Google à plus de 740 $US aujourd’hui. En fait, depuis le 2 octobre une nouvelle société a été fondée (Alphabet Inc.) et son PDG est Larry Page alors que google est présidée par l’hind...
Lire la suite