Tuntemattoman SMTP-liikenteen aiheuttajan etsiminen lähiverkossa

Liittynyt
04.11.2018
Viestejä
312
Pahoittelut jos väärä alue, en löytänyt aiempaa keskustelu aiheesta..

Eräänä päivänä huomasin ettei sähköpostit enää toimineet puhelimessa taikka pöytäkoneella. Testasin ilman wlania ja postit kulkivat taas 4G:n yli puhelimella tai sitten webbimailin kautta pöytäkoneella jos käytän VPN:a. Tiedustelin asiaa palveluntarjoajalta, joka ilmoitti että iipparistani oli yritetty SMTP-kirjaantumista useampaan otteeseen väärällä käyttäjänimellä/salasanalla joka johti siihen että serveri automaagisesti bannasi koko IP:n noin ~12 tunniksi. Huushollissa on useampi laite tuon saman IPn takana, mutta onnistuin kohdistamaan vian aiheuttajan yhteen tiettyyn pöytäkoneeseen. Jos kone on kiinni vaikkapa yön yli, bannit päsähtävät taas jossain vaiheessa päälle kun sama sovellus yrittää kirjautumista uudelleen.

Unifin Controller ja Glasswire molemmat raportoivat että tästä koneesta tosiaan lähtee SMTP-liikennettä, mutta hassuksi asian tekee se että koneessa ei ole yhtään mailisoftaa asennettuna. Kumpikaan näistä ei tosin kerro tarkemmin että mikä sovellus tämän liikenteen lähde on. Wiresharkiakin testasin siten että pistin capturen pidemmäksi aikaa päälle ja koitin sitten filtteröidä SMTP-liikenteen perusteella mutta en onnistunut/osannut tehdä tätä oikein koska mitään tuloksia en tätäkään kautta saanut aikaan.

Olisiko kellään ideoita miten voisin tuon SMTP-liikenteen aiheuttajan tunnistaa?
 
Varmaan tuon epäilyttävässä tilassa olevan koneen oma palomuuri - laitat sen logittamaan ja estämään kaikki SMTP-liikenne, jolloin se logittaa mikä prosessi ja proggis sen aiheuttaa

Joko siitä verkon palomuurin datasta näkee, mitä se yrittää lähettää? Kohde-, lähdeosoitteita ja message bodya
 

Statistiikka

Viestiketjuista
261 376
Viestejä
4 536 259
Jäsenet
74 793
Uusin jäsen
Sasu Heikkilä

Hinta.fi

Back
Ylös Bottom