look a bit 'if a system can work well!
Friday, February 29, 2008
Thursday, February 7, 2008
Monica Roccaforte Online Movie
Porte aperte al rootkit
I was trying to set the PC operating officer Canadair to send mail through the SMTP Telecom in order to not over our internal mail server as many text messages they send via email a day and also because in this way the messages would arrive first. But after aver inserito mail.cs.interbusiness.it in outlook all'invio di un messaggio ricevo errore 5.5.2 ovvero: "Non puoi inviare perchè il tuo ip pubblico è in blacklist", questo, passando tramite il Server Mail Postfix non succede perchè è nattato su un altro ip pubblico, per nostra fortuna. Allora mi sono chiesto: "Come facciamo ad essere in blacklist con l'ip del firewall se la posta esce sempre tramite il server mail?". La risposta è semplice: "C'è qualcuno che invia mail usando l'smtp esterno volutamente o perchè ha il pc infetto da qualche spyware o trojan. Apro i logs del firewall e lancio la ricerca di tutto ciò che è uscito dalla porta 25 che non abbia come ip di origine quello del server mail. E con grande stuopore I find that there are two infected machines. First I cleaned with a simple scan of spybot the second one made me sweat a bit 'more. Spybot and Ad-Aware do not find anything. Then launch a netstat-n in the second infected machine, to see if there are processes that have opened port 25, in fact I find the service services.exe continuous listening on 25. Thanks to my friend Google, searching for "services.exe port 25", I find that there is probably an infection of the rootkit Rudstock for the presence of a driver named xpdx.sys. Then locate the file in c: \\ windows \\ system32 \\ xpdx.sys but obviously I can not delete it. I still try a removal tool in google, unloading and launch. When you restart the PC is clean it by running netstat I can not find services listening on 25 .... pity that we shall divide the world we wait for the db remove the ip from the blacklist. Bye 
I was trying to set the PC operating officer Canadair to send mail through the SMTP Telecom in order to not over our internal mail server as many text messages they send via email a day and also because in this way the messages would arrive first. But after aver inserito mail.cs.interbusiness.it in outlook all'invio di un messaggio ricevo errore 5.5.2 ovvero: "Non puoi inviare perchè il tuo ip pubblico è in blacklist", questo, passando tramite il Server Mail Postfix non succede perchè è nattato su un altro ip pubblico, per nostra fortuna. Allora mi sono chiesto: "Come facciamo ad essere in blacklist con l'ip del firewall se la posta esce sempre tramite il server mail?". La risposta è semplice: "C'è qualcuno che invia mail usando l'smtp esterno volutamente o perchè ha il pc infetto da qualche spyware o trojan. Apro i logs del firewall e lancio la ricerca di tutto ciò che è uscito dalla porta 25 che non abbia come ip di origine quello del server mail. E con grande stuopore I find that there are two infected machines. First I cleaned with a simple scan of spybot the second one made me sweat a bit 'more. Spybot and Ad-Aware do not find anything. Then launch a netstat-n in the second infected machine, to see if there are processes that have opened port 25, in fact I find the service services.exe continuous listening on 25. Thanks to my friend Google, searching for "services.exe port 25", I find that there is probably an infection of the rootkit Rudstock for the presence of a driver named xpdx.sys. Then locate the file in c: \\ windows \\ system32 \\ xpdx.sys but obviously I can not delete it. I still try a removal tool in google, unloading and launch. When you restart the PC is clean it by running netstat I can not find services listening on 25 .... pity that we shall divide the world we wait for the db remove the ip from the blacklist. Bye
Subscribe to:
Posts (Atom)