spambot achter een NAT traceren.

Klant heeft een netwerkje draaien met

- SBS2003 zonder Exchange / SMTP (static IP / 1 netwerk kaart / doet geen ISA of routing)
- meerdere XP clients.
- Speedtouch ADSL modem met dhcp en internet gateway

Nu is al meerdere keren vanuit Planet de uitgaande email geblokkeerd. Kennelijk zou er een spambot draaien op het netwerk. Twee keer al een bailout gedaan nadat het hele netwerk met TrendMicro en HitManPro was gescanned.

Na de bailout, binnen 2 dagen weer een blokkering... Hoe kan ik het makkelijkste achterhalen welke pc hiervan de oorzaak is. Ik kan moeilijk hun alle pc's laten afsluiten en dan een voor in schakelen, tot dat de rotte appel naar voren komt... En omdat je met NAT te maken hebt, kan Planet natuurlijk ook niks verder vertellen.

Hoe pak ik dit aan zonder de klant eerst helemaal qua internet verkeer te moeten platleggen?

Verwijderd schreef op dinsdag 06 november 2007 @ 16:39:
je kunt op die speedtouch toch gewoon uitgaand verkeer naar poort 25 blokkeren vanuit de CLI? meen ik? Anders een scriptje bakken dat elke 10 minuten netstat -a -n doet en de uitkomst in een textfiletje spuugt, dan zie j vanzelf wie er bergen met verbdiningen naar port 25 probeert te maken.

Nog beter is de hele toko afsluiten en Pcs scannen, opschonen, en terug hangen.

Vergeet de server trouwens niet te scannen

is een linksys kwam ik achter

ben nu ff met alle pc's dit aan het proberen:

netstat -n 5 >c:\log.txt

en dan ff laten draaien en dan zoeken op portnummer 25... kijken wat het wordt...

ik heb thuis nog ff wat zitten puzzelen, maar ik ben er nog niet helemaal uit.

Als er een spamprogramaatje zit dat allerlei uitgaande email stuurt, dan moet dat programma actief uitgaand verkeerd op poort 25 veroorzaken?

want ik heb dit zitten test op een lokale computer waar ik met outlook steeds nieuwe emails blijf verzenden:

netstat -n 1

en in de resultaten zie ik dan nergens iets terug over poort 25, alleen port 110 en dat is voor het ophalen van pop3 email?

Dus nu kan ik die test wel bij de klant gaan uitvoeren, maar krijg ik weinig resultaat terug denk ik.

En ze zitten achter Linksys NAT waar poort 25 gewoon niet openstaat voor inkomend verkeer, uitgaand is er niks geblokt.

Vraag is: waarom zie ik zelf geen uitgaand poort 25 verkeer als ik vanuit outlook een mail stuur...

EDIT1
Misschien is netstat -n 1 een te kort interval om het verkeer te zien tussen outlook en smtp server?

EDIT2
ik heb ook vanuit buitenaf met telnet proberen te connecten naar port 25, geen antwoord, logisch NAT houdt dit tegen. Dus dit hoef ik intern ook niet te testen lijkt me?

EDIT3
op een computer heeft de netstat truuk resultaat opgeleverd en een winlogon trojan horse gevonden, die TrendMicro officeScan niet had verwijderd. Dank voor alle hulpen, kijken of er nog meer computers problemen hebben!

[ Voor 24% gewijzigd door trekker22 op 07-11-2007 16:55 ]