Come individuare Zimbra Sniffing Trojan

1

Sono un amministratore di sistema del nostro sistema, stiamo eseguendo zimbra come server di posta elettronica nel nostro ambiente. Ho ricevuto il seguente messaggio dal CEO.

"Ogni volta che invio o ricevo un'email - Ottengo alcuni annunci SPAM pochi minuti dopo relativi alla parola chiave. C'è qualcosa nel nostro sistema di posta elettronica che" ascolta "e fa sì che ciò accada."

Sto cercando di capire se è vero. Ho controllato, nessuna porta aggiuntiva in ascolto sul server. La mia domanda è, ci sono dei trojan Zimbra / server server noti che farebbero qualcosa del genere? Non penso che sia così, ma ho bisogno di qualche suggerimento sul problema se qualcuno affronta la stessa situazione.

    
posta Toqeer 01.03.2013 - 11:06
fonte

3 risposte

1

In caso di infezione è necessario eseguire la scansione del sistema per alcuni indizi, come .lnk o voci maligne correlate che hanno infettato zimbra in passato. Un rapido controllo manuale sarebbe quello di abbinare la somma sha1 / md5 di quei file (sul desktop) con i checksum in rete (forum di zimbra).

Vale la pena catturare un po 'di traffico e analizzare utilizzando una e-mail di test su un computer da laboratorio che è possibile utilizzare per motivi sperimentali. Questo ti aiuterà a identificare se ha a che fare con il sistema o il servizio di posta elettronica.

La maggior parte delle infezioni intelligenti non ha bisogno di porte aggiuntive poiché utilizzano le porte generiche più affidabili come 80, 443, 25 utilizzate per i servizi web / email.

    
risposta data 01.03.2013 - 12:07
fonte
1

Supponendo che il tuo amministratore delegato stia utilizzando un computer basato su Windows, inizierei con un'ispezione della sua macchina. Sebbene Anti-Virus non sia una difesa perfetta contro Malware, è una buona cintura di sicurezza. È necessario assicurarsi che Anti-Virus sia installato, in esecuzione e aggiornato con le ultime definizioni. Esegui una scansione completa e vedi se ciò produce risultati. In tal caso, analizza i risultati utilizzando Google (ad esempio, Google il nome del malware rilevato sul suo computer) e verifica se il malware è un fattore che contribuisce al comportamento che stai vedendo.

Se sei a tuo agio con uno sniffer di pacchetti, come WireShark, forse potresti monitorare il traffico proveniente dalla macchina dell'amministratore delegato per vedere se rilevi comandi e comandi; controllare il traffico o qualsiasi altra attività sospetta prima, durante e dopo l'invio di un'e-mail. Supponendo che il tuo amministratore delegato stia utilizzando un computer basato su Windows, ci sono diversi passaggi che puoi prendere per rilevare e analizzare Malware su un sistema live leggendo i primi capitoli del Pratico Analisi Malware libro.

Se non ti senti a tuo agio con una qualsiasi delle soluzioni di cui sopra, puoi provare un processo di test di eliminazione, in cui fornisci al CEO un altro computer e chiedigli di inviare e-mail da lì. Se il problema persiste, puoi almeno escludere Malware dal suo computer.

Un secondo posto da guardare sarebbe il tuo server di posta. Simile al rilevamento e all'analisi di Malware su un computer Windows, ci sono alcuni passaggi che è possibile eseguire su una macchina basata su Linux leggendo alcuni capitoli di Malware Forensics libro. Spero che questo aiuti, se ti va, forse possiamo connetterci su IM e posso darti maggiori informazioni.

    
risposta data 01.03.2013 - 16:19
fonte
0

Vorrei prima scansionare la macchina del CEO e poi dirgli di smettere di andare su siti porno sul suo computer di lavoro. A parte gli scherzi, vorrei prima controllare il suo computer per il problema. I dirigenti in particolare sembrano avere la tendenza ad andare in siti che non dovrebbero in un ambiente di lavoro e hanno la tendenza a raccogliere le cose lungo la strada, dato che non sono generalmente preoccupati di essere licenziati per fare finta di niente.

    
risposta data 01.03.2013 - 14:57
fonte

Leggi altre domande sui tag