台灣最大程式設計社群網站
線上人數
1471
 
會員總數:246145
討論主題:189731
歡迎您免費加入會員
討論區列表 >> 網管 / 資安 / VM >> Sniffer封包資料請求協助
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
Sniffer封包資料請求協助
價值 : 300 QP  點閱數:2473 回應數:6
樓主

擺渡人 版主
初學者
741 83
2631 316
發送站內信

捐贈 VP 給 擺渡人
想請教Sniffer的高手,我在Sniifer資料中發現公司有一台Server在晚上10點時跟外部一個網點有蠻多的資料傳輸,而且資料好像都是往外傳送,對方節點經過trace現是Hinet的網點,我利用Wireshark的Follow TCP Stream功能將封包資料存成Raw的格式,進去看以後,發現在一堆Binary Code之後,出現看得懂的明碼文字,資料如下:
(一堆Binary Code).....
!so,6"p5&5"9S`-qZ@')!<E6(!s/Q'"9JZ-"TAQ,#RUb?rWW<)!WrN-r<3?-"9Sf2"T8H%!WrN."9\Q'
qucm!"p"c,!sA]/mfEOo"9nc-"Tni0!s/T'#6+r-"TSZ"!YY\D"U5)1!WrN/"9\o4"pP56!X82rJcLB&
JcLB&J,~>

%%EndBinary
grestore
np
596.435 3940.43 mo
595.789 3939.44 591.727 3939.09 590.724 3938.99 cv
587.646 3938.67 583.567 3939.14 581.573 3941.81 cv
.....
(重複好幾行)
.....
cp
0 .8 .95 0 cmyk
f
598.809 3942.61 mo
598.809 3942.61 599.895 3930.9 584.33 3927.4 cv
584.33 3927.4 592.777 3922.94 600.014 3930.42 cv
600.014 3930.42 605.325 3937.18 598.809 3942.61 cv
cp
.9 .3 .95 .3 cmyk
f
596.275 3944.54 mo
591.087 3953.34 li
591.087 3953.34 583.365 3949.12 587.226 3944.78 cv
587.226 3944.78 591.812 3940.55 596.275 3944.54 cv
.....
(以下一直重複cp跟f等指令)
.....

1491.65 2045.57 li
gsave
/1
[/DeviceCMYK] /CSA add_res
/1 /CSA get_res setcolorspace
clp
[1 0 0 -1 0 4035.66 ]ct
[255.84 0 0 195.643 1235.81 1990.1 ]ct
snap_to_device
Adobe_AGM_Image/AGMIMG_fl cf /ASCII85Decode fl /RunLengthDecode filter ddf
<<
/T 1
/W 2448
/H 1872
/M[2448 0 0 -1872 0 1872 ]
/BC 8
/D[0 1 0 1 0 1 0 1 ]
/DS [
[AGMIMG_fl 2448 string /rs cvx /pop cvx] cvx
[AGMIMG_fl 2448 string /rs cvx /pop cvx] cvx
[AGMIMG_fl 2448 string /rs cvx /pop cvx] cvx
[AGMIMG_fl 2448 string /rs cvx /pop cvx] cvx
]
/O 3
>>
%%BeginBinary: 1
img
9Y.gI]">Pd]"GSc]XkMVXf8"]P`L`TJq8K'JV8f:Odr8L[(O)_ZFm`W\$i`W]",5S[_08d]YD1r^r*t%
]thIt]uJ7?c,dlB_8-&a"2MXa^&GbE_%!od[C!-?XJi"mVP9f]rh9[lTqnK\VPpGmrhp$uV5'ibX0FRh
.....
(以下又是一堆BinaryCode)

請問這是有被植入木馬程式嗎?駭客正在copy資料嗎?
因為中間看到有ADOBE的文字,不知道是不是Adob的弱點?

本篇文章發表於2010-10-05 10:09
1樓
最有價值解答

SteveT
檢舉此回應
看起來好像在用Postscript印東西...
查查看有無來路不明的printer driver吧.
本篇文章回覆於2010-10-05 13:44
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

擺渡人
捐贈 VP 給 擺渡人 檢舉此回應
Server上並沒有發現多出來的印表機,檢查連接埠也沒有異常的。
本篇文章回覆於2010-10-05 17:38
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

jack
捐贈 VP 給 怎有人這麼喜歡改暱稱 檢舉此回應
攔到什麼資料 是次要的

最重要的 是 你來到哪一台機器 連到哪個IP & Port 在送這些資料?
如果是 ftp port, 什麼樣的鬼資料都算正常吧?

如果 target ip 是自己公司內部的 printer 這些資料也算是正常的吧?

如果是連上 internet 印東西 就比較詭異
要問一下 Source IP 用戶是什麼情形這樣...
本篇文章回覆於2010-10-14 01:19
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
作者回應

擺渡人
捐贈 VP 給 擺渡人 檢舉此回應
Source Host是公司的Server,並不會有人在上面進行進行任何操作,所以不可能是人為在那台設備上進行檔案傳輸,而Target Host是外部的網點。
本篇文章回覆於2010-10-21 16:17
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
回應

jack
捐贈 VP 給 怎有人這麼喜歡改暱稱 檢舉此回應
最重要的 是 你來到哪一台機器 連到哪個IP & ""Port"" 在送這些資料?
如果是 ftp port, 什麼樣的鬼資料都算正常吧?


哪一個 port?

如果是 http port,
可能哪個 user 正在下載貴網站的某個 pdf 檔!?
或是 Flash?
Flash 也是 Adobe 公司慘品!
本篇文章回覆於2010-10-21 18:17
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
作者回應

擺渡人
捐贈 VP 給 擺渡人 檢舉此回應
如果是http或ftp port就比較容易判斷問題了,但就因為不是標準的Port,Server也並沒有提供特別的服務才讓人覺得是異常的狀況。
內部的Host是使用TCP 1513 Port,外部的Host是使用TCP 1160 Port。
本篇文章回覆於2010-10-21 22:50
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.