> > в теле письма еще и zip-вложение было... Кто сможет > > компетентно отделить мух от котлет? > > Попробуй переименовать в *.msg и открыть TheBat-ом.
Бэта под рукой не оказалось... юзаю Тандерберд, в нем открывается "as is",
аттача не видно. "Почта Windows" в Vista - те же яйца. Туплю с утреца, не пойму как правильно сделать чета...
В общем ситуация следующая, в конторе где я бываю набегами увеличился траф... Заказали детализацию по одному конкретному дню (там 590 метров было накачано), ждали 2 дня, в итоге провайдер прислал почтой два файла, оба с расширением .bin (Untitled.bin - около 5 мегабайт и Untitled2.bin - около 150 килобайт).
Это шутка такая или их чем то можно посмотреть, кроме дизассемблера? :-\
Идея такая была - сравнить логи с хистори на юзерских компах, чтобы выяснить, юзеры это или хакеры инет пользуют. К слову, когда я эту контору принял, там была вирусня и масс-мейлеры везде напиханы, везде поставил Каспера 2009 с файрволом, поприбивал заразу, вроде сетевая активность улеглась...
Если ничего не удасться выяснить, вижу решение лишь поставить на выделенный комп Traffic Inspector и через прокси логи проверять потом, или может еще что посоветуете...
Возможно дамп снифера. Попробуй открыть файлик wireshark'ом
Если ниче не поможет - ищи в бинарнике последовательности соответствующие мак адресам имеющимся в вашей локалке. Кого будет больше всего - тот и жрет трафик)
Структура ethernet заголовка (если интересно):
typedef struct eth_hdr_
{
unsigned char dst[ETH_ALEN];
unsigned char src[ETH_ALEN];
unsigned short ftype;
}eth_hdr;
Для IP - сразу после eth_hdr следует :
typedef struct ip_hdr
{
unsigned char ip_verlen; // IP version & length
unsigned char ip_tos; // IP type of service
unsigned short ip_totallength; // Total length
unsigned short ip_id; // Unique identifier
unsigned short ip_offset; // Fragment offset field
unsigned char ip_ttl; // Time to live
unsigned char ip_protocol; // Protocol(TCP, UDP, etc.)
unsigned short ip_checksum; // IP checksum
unsigned int ip_srcaddr; // Source address
unsigned int ip_destaddr; // Destination address
} IP_HDR;
Для TCP конекшнов ip_protocol будет выставлен в 6
перлом или С разгрести дамп трафика с этими данными будет несложно даже без стороннего софта)
Это логи pf27.09.08 10:55 Автор: Ustin <Ustin> Статус: Elderman
А мне надо анализ логов сделать. С каких IP адресов получено наибольшее количество траффика. Файл то уже вытащил (см. ниже).
Пока решение не нашел, поскольку ни excel ни access толком не знаю, чтобы выборки правильно написать... :(
Тупик полный...
Нашел чем соединить, какая то Easy File Joiner...
Пока файлы раздельно, трюк со сменой расширения первого на .eml работет нормально, имеем письмо с коцаным .zip.
После склейки и смены расширения на .eml опять открывается не как письмо... а вот так
From: "xxxxxxxxxx">
> Похоже у вас банальные зомбоботы в сети. Рассылают спам и > вирей :)
Да не совсем похоже... во первых исходящий траф не тарифицируется, во вторых пролечили все Каспером 2009 Internet Security, файрволл включен.
Но надо проверить, конечно.
Продолжение страшной истории!25.09.08 18:53 Автор: ncoder Статус: Незарегистрированный пользователь
Ничего не добившись от бинарников, наш герой навестил провайдера, где ему на флешку была записана детализация. Как потом оказалось, не та которая требовалась, за 1 день, где было много трафика.... а за весь месяц.
Причем в виде ip адресов, количества полученных байт, протоколов и портов. Мечты проверить history юзеров накрылись медью.
Но герой не пал духом и попросил прислать все таки детализацию за самый "трафный" день, уже на его почовый ящик. Тут пролилось немного света на бренную землю. Он таки получил искомое письмо... но в ужасном виде.
Вот название 1го письма:
Детализация 08_14_2008_000000_08_14_2008_235959_371_1.zip [1/2]
а это второго:
Детализация 08_14_2008_000000_08_14_2008_235959_371_1.zip [2/2]
получено MozThunderbird'ом.
Внутри обох нет текста, только файл с названием attachment без расширение.
Размер 1-го письма - 5001 kb, второго - 1749 kb.
Насколько удалось понять, чей то почтовый сервер режет таким способом письма более 5 mb.
На сей раз сохранение файла attachment из первого письма и переименование его в .eml увенчалось успехом! При открытии тандером
получилось письмо с текстом и аттачем.zip. Но архив не открывается, похоже вторая часть отрезана.
А теперь вопрос... чем соединить два одинаковых файла attachment в один, чтобы потом окрылось полноценное письмо, а не обрубок?
И так, на всякий случай, чтобы потом велосипед не изобретать,...26.09.08 09:24 Автор: Winer <Виктор С.> Статус: Member Отредактировано 26.09.08 09:25 Количество правок: 2
> А теперь вопрос... чем соединить два одинаковых файла > attachment в один, чтобы потом окрылось полноценное письмо, > а не обрубок? И так, на всякий случай, чтобы потом велосипед не изобретать, родная виндовая copy вполне себе умеет склеивать N файлов в один. copy /?
> И так, на всякий случай, чтобы потом велосипед не > изобретать, родная виндовая copy вполне себе умеет > склеивать N файлов в один. copy /?
Позор на мою седую голову, забыл первоисточники. Ешкин кот, это ж надо.
Развеж про DOS можно забывать :))
Виноват. Просто когда все мозги нацелишь в одну точку, очевидного иногда не замечаешь... что весь инструментарий то под рукой, оказывается.
ну так это ж пальцами надо нажимать26.09.08 10:50 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Итог: в результате проделанной бесполезной работы получили бесполезный результат.
Total Commander зарулил!
Меню File>Combine решает!
В итоге получен 40-мегабайтный (в распакованном виде) CSV файл, который excel полностью открыть не может. А то что может, представляет мало ценности. Ибо выглядит так:
datetime(YYYY-mm-dd HH:MM:SS) src IP addr src_port input ifidx dst IP addr dst_port output if idx protocol bytes
14.08.2008 0:00 89.96.249.130 24829 15 87.241.221.30 137 19 udp 234
На одну минуту присходит до 1000 событий начиная с 9 утра. Ночью тоже меленько капает траф, очевидно служебная информация.
Проверять каждый IP через WHOIS - извините, еще не совсем болен.
Однако судя по тому, что ночью активности фактически нет, радиоканал не взломан, значит офис скорее всего реально столько выкачивает. В этот день было 790 метров. Найти виновных найти не удасться, буду срочно ставить Traffic Inspector и пускать всех через него, потом смотреть логи.
Всем спасибо за помощь!
ps: долой помегабайтные тарифы! 12000 за интернет в месяц это что то...
Пусть логи лежат в файле log.bin
Тогда:
1) Ищешь (хоть поиском по форуму) и ставишь unxutils
2) Создаёшь в каталоге файл logproc.bat
@echo off
set tmpfl=fl.tmp
cat %1|gawk "{print $3}"|sort -T %temp% > %tmpfl%
cat %1|gawk "{print $6}"|sort -T %temp% >> %tmpfl%
cat %tmpfl%|sort -T %temp% -u > %tmpfl%2
for /f %%q in (%tmpfl%2) do (
echo %%q
cat %1 |grep %%q|gawk "{sum+=$10} END {print sum}"
)
del %tmpfl%*
---
3) запускаешь из командной строки logproc.bat log.bin >1.txt и просматриваешь 1.txt
Там будут строки
122.141.76.3
3716
...
202.99.11.99
808
, они значат что с адресом 122.141.76.3 происходил обмен 3176 байт (и вход и выход), а с 202.99.11.99 - 808 байт.
Если почитаешь мануалы, поймёшь как посчитать отдельно входящий и отдельно исходящий трафик, а также разобрать по протоколам и портам.
PS: тему в бегиннерс
Почему найти не удастся?25.09.08 22:19 Автор: amirul <Serge> Статус: The Elderman
> На одну минуту присходит до 1000 событий начиная с 9 утра. > Ночью тоже меленько капает траф, очевидно служебная > информация. > Проверять каждый IP через WHOIS - извините, еще не совсем > болен.
Можно написать простенькую прогу, которая распарсит лог и отсортирует по объему трафика с группировкой по IP-шникам.
> Однако судя по тому, что ночью активности фактически нет, > радиоканал не взломан, значит офис скорее всего реально
Ночью "хакиры" тоже могут спать. Не стоит сбрасывать со счетов взлом радиоканала (если вообще такое подозрение было). Этот трафик может генерить не бот, а человек (порнуху качает нахаляву). А ночью человеки спят. Хотя может и червь, а ночью нет трафика потому, что комп на ночь выключают
> столько выкачивает. В этот день было 790 метров. Найти > виновных найти не удасться, буду срочно ставить Traffic > Inspector и пускать всех через него, потом смотреть логи.
> Всем спасибо за помощь! > > ps: долой помегабайтные тарифы! 12000 за интернет в месяц > это что то...
12 гиг на помегабайтном тарифе? Круто :-)
А вообще да, анлимиты сейчас очень доступные
Не, 12000 рублей отдали за месяц за инет...25.09.08 22:49 Автор: ncoder Статус: Незарегистрированный пользователь
Не, 12000 рублей отдали за месяц за инет...
Радиоканал вряд ли взломан, точка доступа провайдерская (Энфорта), канал ноутбуком не виден. Прогу бы написал, только последний мой опыт программирования был еще на спектрумовском ассемблере... а нет, вру, еще visual basic маленько пробовал лет 5 назад. Если есть желание, могу выслать файл :-)
Да думаю, че теперь крайних искать, народ никто не ограничивал, вот и распоясались. Надо делать контроль, лучше пусть контора TI купит за 5 тыщ рублев чем по 10-12 тыщ каждый месяц отваливать за трафик.
Единственно просьба - можт посоветует кто че, трафик инспектор с отдельным компом-шлюзом недорогим - правильный вариант, или получше можно придумать?
Задачи - желательно наглядно видеть, какие сайты с какого компа посещаются, помимо собственно объема полученной информации.
К точке доступа провайдер ключи не даст, там ниче нельзя будет настроить, только шлюзом ее указать.
Файл не надо. Если он однородный просто запость сюда...26.09.08 00:54 Автор: amirul <Serge> Статус: The Elderman
> Не, 12000 рублей отдали за месяц за инет... > Радиоканал вряд ли взломан, точка доступа провайдерская > (Энфорта), канал ноутбуком не виден. Прогу бы написал, > только последний мой опыт программирования был еще на > спектрумовском ассемблере... а нет, вру, еще visual basic > маленько пробовал лет 5 назад. Если есть желание, могу > выслать файл :-)
Файл не надо. Если он однородный просто запость сюда несколько строк - приду домой сделаю (если не забуду :-) ). Там не должно быть сложно.
> Да думаю, че теперь крайних искать, народ никто не > ограничивал, вот и распоясались. Надо делать контроль,
А ну если не ограничивал, то и искать незачем. Или хотя бы просто ради интереса?
> лучше пусть контора TI купит за 5 тыщ рублев чем по 10-12 > тыщ каждый месяц отваливать за трафик.
Ага.
> Единственно просьба - можт посоветует кто че, трафик > инспектор с отдельным компом-шлюзом недорогим - правильный > вариант, или получше можно придумать? > Задачи - желательно наглядно видеть, какие сайты с какого > компа посещаются, помимо собственно объема полученной > информации.
Может лучше винроут какой нибудь поставить? Все ж таки изначально заточен на разлив инета и сбор статистики.
> К точке доступа провайдер ключи не даст, там ниче нельзя > будет настроить, только шлюзом ее указать.
Ее можно сбросить в дефолт и поставить что нибудь свое :-)
Тут правда таблица не отобразится, но в общем колонок там 8...26.09.08 19:45 Автор: ncoder Статус: Незарегистрированный пользователь
однако это будет иметь смысл, если Excel сможет открыть весь файл, а пока он ругается на ограничение по количеству строк, процентов 5 файла открывает.
> А ну если не ограничивал, то и искать незачем. Или хотя бы > просто ради интереса?
Почему, польза будет! Надо знать кто там самый матерый качала... мне ж их дальше админить, порядок придется наводить. Плюс уже можно прикидывать, на какие адреса контент-фильтры применять. Не ограничивали народ потому что траф был в пределах нормы, в 5-8 тыс. руб. укладывались, а теперь второй месяц счет на 10-12 тыр. идет, директор не очень то счастлив, а мужик неплохой, обижать не стоит.
> Может лучше винроут какой нибудь поставить? Все ж таки > изначально заточен на разлив инета и сбор статистики.
У винроута логи тож не самые внятные, хотя говорят их можно другой прогой в порядок приводить, Intenet Access Monitor вроде. Разбираться придется глубоко...
> Ее можно сбросить в дефолт и поставить что нибудь свое :-) Только от инета остануться рожки да ножки :-)
Насчет Excel просвет есть, вроде Excel 2007 миллион с...26.09.08 19:54 Автор: ncoder Статус: Незарегистрированный пользователь
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
