Статья: Мониторинг ICQ-переписки с помощью IMspector

[zar0ku1]

Предположим понадобилось логировать всю переписку сотрудников по ICQ. Конечно это не есть хорошо, но все же, вдруг очень нужно…

УК РФ статья 137 "Нарушение неприкосновенности частной жизни" и 138 "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений"

Имеем сервер с установленной Freebsd 7.2, который выступает шлюзом на предприятии, то есть все пакеты проходят именно через него, значит на него и будем устанавливать Imspector (подробнее про эту утилиту можно прочитать на ее сайте). Если вкратце, то программа работает с ICQ, MSN, Jabber/XMPP, AIM, Yahoo Messanger, IRC and Gadu-Gadu протоколами, умеет подменять SSL/TLS сертификаты, может отключать веб-камеры, пересылку файлов и блокировать сообщения.

В портах лежит старая версия 0.5, а уже есть 0.9, непорядок. После длительного “гугления” был найден тарбол версии 0.8 как-никак посвежее, будем ставить его. Можно скачать отсюда (167кб).

Процесс установки очень прост:

Код: Выделить всё

pkg_add –r http://pub.shukan.ru/imspector-0.8.tbz

пропишем ее в rc.conf

Код: Выделить всё

imspector_enable=”YES”

копируем конфигурационный файл

Код: Выделить всё

cp /usr/local/etc/imspector/imspector.conf.sample /usr/local/etc/imspector/imspector.conf

и приводим его примерно в такой вид:

Код: Выделить всё

port=16667
plugin_dir=/usr/local/lib/imspector
file_logging_dir=/var/log/imspector
icq_protocol=on

Примечание: пока не расписываю про другие протоколы и прикручивание баз данных.

Теперь настраиваем фаервол PF, да именно PF, потому что именно с ним работает данная программа. Не пугайтесь, если у вас допустим настроен ipfw, pf нам нисколечко не помешает

прописываем разрешение pf в rc.conf

Код: Выделить всё

pf_enable=”YES”

создаем файл настроек pf:

Код: Выделить всё

touch /etc/pf.conf

И добавляем в него всего одну строчку:

Код: Выделить всё

rdr on lan inet proto tcp from any to any port = 5190 ->127.0.0.1 port 16667

где lan замените на ваш локальный интерфейс (например re0, rl0, dc0 итп)

Теперь запускаем imspector:

Код: Выделить всё

/usr/local/etc/rc.d/imspector start

и запускаем фаервол pf:

Код: Выделить всё

/etc/rc.d/pf start

Чтобы посмотреть загруженные правила за нужно набрать:

Код: Выделить всё

[zar0ku1@gw ~]$ pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
rdr on re0 inet proto tcp from any to any port = aol -> 127.0.0.1 port 16667

Проверяем запустился ли imspector:

Код: Выделить всё

[zar0ku1@gw ~]$ /usr/local/etc/rc.d/imspector status
imspector is running as pid 11399 11400 11401 11418.

Работает, теперь перезапускаем icq и пробуем кому-нибудь написать. В папке /var/log/imspector должен создаться каталог ICQ-AIM с подкаталогами UIN’ами пользователей.

Это конечно все хорошо, но читать такие логи неудобно, поэтому прикрутим вебинтерфейс, он конечно примитивный, но всяко поудобнее будет.

Качаем исходники http://www.imspector.org/downloads/imspector-0.8.tar.gz распаковываем и в папке contrib берем файл imspector.cgi и копируем его, допустим в /usr/local/www/imspector/

Прописываем для него alias (пример для apache 2.2):

Код: Выделить всё

Alias /imspector/ "/usr/local/www/imspector/" 
<Directory "/usr/local/www/imspector"> 
  AddHandler cgi-script .cgi 
  Order deny,allow 
  Allow from all 
  AllowOverride All 
</Directory>

Перезапускаем apache и смотрим:


Вебинтерфейс обновляется автоматически.

Статья написана по мотивам:
http://itbg.wordpress.com/2009/02/21/im ... щений-icq/
http://www.lissyara.su/?id=1832

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

1. редирект может делать не только pf
2. асько может работать на любом порту

[zar0ku1]

1. редирект может делать не только pf
2. асько может работать на любом порту

1) эта софтинка работает только с pf
ему нужен /dev/pf
2) еще она и трафик шифрует, но кто это в жизни видел? тем более когда открыты на шлюзе 25,53,80,110,5190?

[hizel]

1.

Код: Выделить всё

#if LINUX_NETFILTER
        if (getsockopt(fd, SOL_IP, SO_ORIGINAL_DST, &redirectsockaddr, &redirectsockaddrlen) < 0)
        {
                syslog(LOG_ERR, "Redirect address, getsockopt() failed");
                return "";
        }
        else
                return sockaddrtostring((struct mysockaddr *) &redirectsockaddr);               
}
#elif IPFW_TRANSPARENT
        if (getsockname(fd, (struct sockaddr *) &redirectsockaddr, (socklen_t *) &redirectsockaddrlen) < 0)
        {
                syslog(LOG_ERR, "Redirect address, getsockname() failed");
                return "";
        }
        else
                return sockaddrtostring((struct mysockaddr *) &redirectsockaddr);               
}
#elif PF_TRANSPARENT
        struct sockaddr_in clientsockaddr;
        socklen_t clientsockaddrlen = sizeof(struct sockaddr_in);
        
        if (getpeername(fd, (struct sockaddr*) &clientsockaddr, &clientsockaddrlen) < 0)
        {
                syslog(LOG_ERR, "Redirect address, getpeername() failed");
                return "";
        }
        

сюрприз правда?

2. если трафик нормально шифруется, то никто не сможет его расшифровать ;]

[zar0ku1]

1) вообще не сюрприз это добавили в версии 0.9, если соберете для нее тарботл - низкий поклон, я не умею
2) согласен, но какое это отношение имеет к статье?

[server801]

поставил-403 оишбка и фсе тут......не работает скрипт .уже с правами наигрался.

В папке /var/log/imspector должен создаться каталог ICQ-AIM с подкаталогами UIN’ами пользователей.

не создается......

[zar0ku1]

поставил-403 оишбка и фсе тут......не работает скрипт .уже с правами наигрался.

В папке /var/log/imspector должен создаться каталог ICQ-AIM с подкаталогами UIN’ами пользователей.

не создается......

точно все по порядку сделал?

покажи
sockstat | grep imspector
покажи конфиг, покажи правила pf

[server801]

слово в слово

Код: Выделить всё

 sockstat | grep imspector
root     imspector  9150  3  dgram  -> /var/run/logpriv
root     imspector  9150  4  stream /tmp/.imspectorlog
root     imspector  9149  3  dgram  -> /var/run/logpriv
root     imspector  9149  4  stream /tmp/.imspectoricqcookie
root     imspector  9148  3  dgram  -> /var/run/logpriv
root     imspector  9148  4  stream /tmp/.imspectorlog
root     imspector  9148  5  tcp4   *:16667               *:*

Код: Выделить всё

 pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
rdr on em0 inet proto tcp from any to any port = aol -> 127.0.0.1 port 16667

Код: Выделить всё

 cat /usr/local/etc/imspector/imspector.conf
# The listening port for redirected connections
#port=16667
# The HTTP CONNECT proxy port
#http_port=18080

# This is the default location of protocol and logging plugins.
#plugin_dir=/usr/local/lib/imspector

# For dropping privs - you probably want to do this.
#user=imspector
#group=imspector

# SSL support?
#ssl=on
#ssl_key=/usr/local/etc/imspector/serverkey.pem

# Fixed cert?
#ssl_cert=/usr/local/etc/imspector/servercert.pem

# Or certs created on-the-fly and signed against a CA
#ssl_ca_key=/usr/local/etc/imspector/cakey.pem
#ssl_ca_cert=/usr/local/etc/imspector/cacert.pem
# And finally a directory to store the created certs
#ssl_cert_dir=/var/lib/imspector

# Directory of CA certs for IM server cert validation
#ssl_verify_dir=/usr/local/lib/ssl/certs
# Drop connection when the IM server has a bad cert
#ssl_verify=block

# Prefix and postfix to all responses using all responder plugins
#response_prefix=Message from IMSpector: -=
#response_postfix==-

# SQLite DB filename for automated responses
#responder_filename=/path/to/file
# Inform parties that chats are monitored every N days (default is never)
#notice_days=7
# Customised notice text
#notice_response=Your activities are being logged
# Inform of a blocked event, but upto a max of every N mins (default is never)
#filtered_mins=15
# Customised filtered text (message text or filename follows in response)
#filtered_response=The message or action was blocked

# Will load enabled plugins in plugin_dir
icq_protocol=on
irc_protocol=on
msn_protocol=on
yahoo_protocol=on
gg_protocol=on
jabber_protocol=on
# MSN via HTTP proxy needs https
#https_protocol=on

# Log typing events?
#log_typing_events=on

# Location where the file logging plugin will start from.
file_logging_dir=/var/log/imspector

# MySQL logging plugin stuff
#mysql_server=localhost
#mysql_database=imspector
#mysql_username=imspector
#mysql_password=password

# For SQLite
#sqlite_file=/path/to/file

# Bad words filtering
#badwords_filename=/usr/local/etc/imspector/badwords.txt
#badwords_replace_character=*
#badwords_block_count=1

# ACL
#acl_filename=/usr/local/etc/imspector/acl.txt

# SQLite-backed filter
#db_filter_filename=/path/to/file

# Block all filetransfers?
#block_files=on

# Block webcams?
#block_webcams=on
port=16667
plugin_dir=/usr/local/lib/imspector

а покажите мне

Код: Выделить всё

ls /usr/local/www/imspector/

[zar0ku1]

выключите imspector и попробуйте подключить icq - если подключается, значит неправильно прописано правило pf

[Nick]

подскажите плиз... у меня freeBSD 8, один интерфейс rl0, включил pf и imspector. написал конфиги как написано в статье, но не работает... imspector -d пишет

Код: Выделить всё

imspector: Connection from: 192.168.5.152:3538
imspector: Redirect address, PF lookup failed
imspector: Don't know how to handle connection to
imspector: Finished with child: 192.168.5.152:3538

[zar0ku1]

подскажите плиз... у меня freeBSD 8, один интерфейс rl0, включил pf и imspector. написал конфиги как написано в статье, но не работает... imspector -d пишет

Код: Выделить всё

imspector: Connection from: 192.168.5.152:3538
imspector: Redirect address, PF lookup failed
imspector: Don't know how to handle connection to
imspector: Finished with child: 192.168.5.152:3538

покажи pfctl -sn

[Гость]

подскажите плиз... у меня freeBSD 8, один интерфейс rl0, включил pf и imspector. написал конфиги как написано в статье, но не работает... imspector -d пишет

Код: Выделить всё

imspector: Connection from: 192.168.5.152:3538
imspector: Redirect address, PF lookup failed
imspector: Don't know how to handle connection to
imspector: Finished with child: 192.168.5.152:3538

покажи pfctl -sn

# pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
rdr on rl0 inet proto tcp from any to any port = aol -> 127.0.0.1 port 16667

[zar0ku1]

странно, у меня такое писал, когда pf был выключен, попробуйте его перезапустить, а потом imspector
imspector: Redirect address, PF lookup failed

[Nick]

странно, у меня такое писал, когда pf был выключен, попробуйте его перезапустить, а потом imspector
imspector: Redirect address, PF lookup failed

как можно проверить что pf действительно редиректит?

[zar0ku1]

странно, у меня такое писал, когда pf был выключен, попробуйте его перезапустить, а потом imspector
imspector: Redirect address, PF lookup failed

как можно проверить что pf действительно редиректит?

выруби imspector и попробуй подключить icq, если вылетит с ошибкой, значит редиректит, а ничего не принимает его редирект

[Гость]

странно, у меня такое писал, когда pf был выключен, попробуйте его перезапустить, а потом imspector
imspector: Redirect address, PF lookup failed

как можно проверить что pf действительно редиректит?

выруби imspector и попробуй подключить icq, если вылетит с ошибкой, значит редиректит, а ничего не принимает его редирект

отключил imspector , написал что

Код: Выделить всё

"Связь прервана. Проверьте настройки подключения."

Стоит Qip, настраиваю так, Сервер авторизаци login.icq.com 443, и настройки прокси ip порт 16667

[zar0ku1]

Стоит Qip, настраиваю так, Сервер авторизаци login.icq.com 443, и настройки прокси ip порт 16667

прокси то тут зачем? это все делается "прозрачно", тихо и незаметно

[Гость]

Стоит Qip, настраиваю так, Сервер авторизаци login.icq.com 443, и настройки прокси ip порт 16667

прокси то тут зачем? это все делается "прозрачно", тихо и незаметно

посмотрел какая версия imspector-0.5.... файлик imspector.cgi пришлось взять с 8 версии.
Убрал настройки прокси, сам клиент запустился! Вот подскажите, есть директория /var/log/imspector но в ней ничего не создается.... попробовал поставить 8 или 9 версию потребовал MySQL, без него может работать ?

[zar0ku1]

посмотрел какая версия imspector-0.5.... файлик imspector.cgi пришлось взять с 8 версии.
Убрал настройки прокси, сам клиент запустился! Вот подскажите, есть директория /var/log/imspector но в ней ничего не создается.... попробовал поставить 8 или 9 версию потребовал MySQL, без него может работать ?

Да конечно, база данных это опция

[Nick]

подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое

Код: Выделить всё

# pkg_add -r http://pub.shukan.ru/imspector-0.8.tbz
Fetching http://pub.shukan.ru/imspector-0.8.tbz... Done.
pkg_add: warning: package 'imspector-0.8' requires 'sqlite3-3.6.10', but 'sqlite3-3.6.19' is installed
pkg_add: warning: package 'imspector-0.8' requires 'mysql-client-5.0.77', but 'mysql-client-5.0.87' is installed

получается что проги стоят но версии по новее и imspector не хочет их принимать?

[Гость]

подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое

Код: Выделить всё

# pkg_add -r http://pub.shukan.ru/imspector-0.8.tbz
Fetching http://pub.shukan.ru/imspector-0.8.tbz... Done.
pkg_add: warning: package 'imspector-0.8' requires 'sqlite3-3.6.10', but 'sqlite3-3.6.19' is installed
pkg_add: warning: package 'imspector-0.8' requires 'mysql-client-5.0.77', but 'mysql-client-5.0.87' is installed

получается что проги стоят но версии по новее и imspector не хочет их принимать?
еще скажите, на FreeBSD какие нужно установить пакеты чтобы получилось поставить этот imspector

[zar0ku1]

подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое
получается что проги стоят но версии по новее и imspector не хочет их принимать?
еще скажите, на FreeBSD какие нужно установить пакеты чтобы получилось поставить этот imspector

Да, но ничего в этом страшного нет, он должен был установиться

[Гость]

подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое
получается что проги стоят но версии по новее и imspector не хочет их принимать?
еще скажите, на FreeBSD какие нужно установить пакеты чтобы получилось поставить этот imspector

Да, но ничего в этом страшного нет, он должен был установиться

Схема подключения вот какая ... может быть с настройку клиента делаю не верно, как уже не делал, и как прокси и по всякому... как правильно настроить?

[dmins]

подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое
получается что проги стоят но версии по новее и imspector не хочет их принимать?
еще скажите, на FreeBSD какие нужно установить пакеты чтобы получилось поставить этот imspector

Да, но ничего в этом страшного нет, он должен был установиться

Схема подключения вот какая ... может быть с настройку клиента делаю не верно, как уже не делал, и как прокси и по всякому... как правильно настроить?

Читай 1 пост вниматильнее. Там сказанно, что установка "Imspector" происходит на ШЛЮЗЕ (тоесть через него проходит весь траф) , а на твоей схеме получается ты ставишь под IMspector 2ой сервак. Естественно , юзвери то твои общаются через ШЛЮЗ(gateway) вот на него и ставь imspector.

[Гость]

Спасибо всем за ответы! Столкнулся с траблой что текст примерно вот в таком виде, 1,0,?@825B , с Miranda пробовал все оки а вот уже с QIP каракули, эири вопрос разрешим или это тупик?