使用UBS-5008 8Port Switch的Port Mirror功能加Wirshark解SMTP_Relay
發表於 : 週二 10月 18日, 2011年 1:05 pm使用UBS-5008 8Port Switch的Port Mirror功能加Wirshark解SMTP_Relay
問題的發生狀況
哇 !!我的Exchange 2003 Server一堆的Q信
我的Exchange Server疑似被猜中帳號密碼,被發了一堆的廣告信
我的Mail Server出現了一堆的廣告信
不用緊張
我們可以使用下列的工幾個工具很快抓出兇手跟原因
工具
UBS-5008具有Port Mirror功能的Switch Hub
CE / FCC
一台Windows有安裝Wireshark的Notebook
Ps:還有另一種方法可以很快找出Relay帳號
http://www.ublink.org/index.php/compone ... -find.html
架構如下
UBS-5008設定如下
安裝Wireshark的Notebook裝在Port 8
Mirror Port 1的Firewall和Port 2的Mail Server
Wireshark抓一段tcp port 25的
抓完之後
搜尋 String 是 AUTH LOGIN
AUTH LOGIN是Base64的Login方法
直接找寄信最多的那一組
把他Copy到記事本
這一串解碼是username
在這解碼
http://www.ublink.org/index.php/new/base64-.html
這一串才是 janus
Response: 334 VXNlcm5hbWU6\r\n 解出Username:
Command: ZXJpYw==\r\n 解出eric
Response: 334 UGFzc3dvcmQ6\r\n 解出Password:
Command: MTIzNDU2\r\n 解出123456
這樣就可以很快找到被Relay的帳號跟密碼了
以上如果還有其他問題
請洽本公司各區服務處
問題的發生狀況
哇 !!我的Exchange 2003 Server一堆的Q信
我的Exchange Server疑似被猜中帳號密碼,被發了一堆的廣告信
我的Mail Server出現了一堆的廣告信
不用緊張
我們可以使用下列的工幾個工具很快抓出兇手跟原因
工具
UBS-5008具有Port Mirror功能的Switch Hub
CE / FCC一台Windows有安裝Wireshark的Notebook
Ps:還有另一種方法可以很快找出Relay帳號
http://www.ublink.org/index.php/compone ... -find.html
架構如下
UBS-5008設定如下
安裝Wireshark的Notebook裝在Port 8
Mirror Port 1的Firewall和Port 2的Mail Server
Wireshark抓一段tcp port 25的
抓完之後
搜尋 String 是 AUTH LOGIN
AUTH LOGIN是Base64的Login方法
直接找寄信最多的那一組
把他Copy到記事本
這一串解碼是username
在這解碼
http://www.ublink.org/index.php/new/base64-.html
這一串才是 janus
Response: 334 VXNlcm5hbWU6\r\n 解出Username:
Command: ZXJpYw==\r\n 解出eric
Response: 334 UGFzc3dvcmQ6\r\n 解出Password:
Command: MTIzNDU2\r\n 解出123456
這樣就可以很快找到被Relay的帳號跟密碼了
以上如果還有其他問題
請洽本公司各區服務處