forum.lissyara.su

Где ты ничего не можешь сделать - ты ничего не должен хотеть
https://forum.lissyara.su/

Статья: Мониторинг ICQ-переписки с помощью IMspector

https://forum.lissyara.su/viewtopic.php?f=3&t=20873

Страница 1 из 2

Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-06 16:57:27
zar0ku1
Предположим понадобилось логировать всю переписку сотрудников по ICQ. Конечно это не есть хорошо, но все же, вдруг очень нужно…
УК РФ статья 137 "Нарушение неприкосновенности частной жизни" и 138 "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений"
Имеем сервер с установленной Freebsd 7.2, который выступает шлюзом на предприятии, то есть все пакеты проходят именно через него, значит на него и будем устанавливать Imspector (подробнее про эту утилиту можно прочитать на ее сайте). Если вкратце, то программа работает с ICQ, MSN, Jabber/XMPP, AIM, Yahoo Messanger, IRC and Gadu-Gadu протоколами, умеет подменять SSL/TLS сертификаты, может отключать веб-камеры, пересылку файлов и блокировать сообщения.

В портах лежит старая версия 0.5, а уже есть 0.9, непорядок. После длительного “гугления” был найден тарбол версии 0.8 как-никак посвежее, будем ставить его. Можно скачать отсюда (167кб).

Процесс установки очень прост:

Код: Выделить всё

pkg_add –r http://pub.shukan.ru/imspector-0.8.tbz
пропишем ее в rc.conf

Код: Выделить всё

imspector_enable=”YES”
копируем конфигурационный файл

Код: Выделить всё

cp /usr/local/etc/imspector/imspector.conf.sample /usr/local/etc/imspector/imspector.conf
и приводим его примерно в такой вид:

Код: Выделить всё

port=16667
plugin_dir=/usr/local/lib/imspector
file_logging_dir=/var/log/imspector
icq_protocol=on
Примечание: пока не расписываю про другие протоколы и прикручивание баз данных.

Теперь настраиваем фаервол PF, да именно PF, потому что именно с ним работает данная программа. Не пугайтесь, если у вас допустим настроен ipfw, pf нам нисколечко не помешает =)

прописываем разрешение pf в rc.conf

Код: Выделить всё

pf_enable=”YES”
создаем файл настроек pf:

Код: Выделить всё

touch /etc/pf.conf
И добавляем в него всего одну строчку:

Код: Выделить всё

rdr on lan inet proto tcp from any to any port = 5190 ->127.0.0.1 port 16667
где lan замените на ваш локальный интерфейс (например re0, rl0, dc0 итп)

Теперь запускаем imspector:

Код: Выделить всё

/usr/local/etc/rc.d/imspector start
и запускаем фаервол pf:

Код: Выделить всё

/etc/rc.d/pf start
Чтобы посмотреть загруженные правила за нужно набрать:

Код: Выделить всё

[zar0ku1@gw ~]$ pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
rdr on re0 inet proto tcp from any to any port = aol -> 127.0.0.1 port 16667
Проверяем запустился ли imspector:

Код: Выделить всё

[zar0ku1@gw ~]$ /usr/local/etc/rc.d/imspector status
imspector is running as pid 11399 11400 11401 11418.
Работает, теперь перезапускаем icq и пробуем кому-нибудь написать. В папке /var/log/imspector должен создаться каталог ICQ-AIM с подкаталогами UIN’ами пользователей.

Это конечно все хорошо, но читать такие логи неудобно, поэтому прикрутим вебинтерфейс, он конечно примитивный, но всяко поудобнее будет.

Качаем исходники http://www.imspector.org/downloads/imspector-0.8.tar.gz распаковываем и в папке contrib берем файл imspector.cgi и копируем его, допустим в /usr/local/www/imspector/

Прописываем для него alias (пример для apache 2.2):

Код: Выделить всё

Alias /imspector/ "/usr/local/www/imspector/" 
<Directory "/usr/local/www/imspector"> 
  AddHandler cgi-script .cgi 
  Order deny,allow 
  Allow from all 
  AllowOverride All 
</Directory>
Перезапускаем apache и смотрим:
Изображение

Вебинтерфейс обновляется автоматически.

Статья написана по мотивам:
http://itbg.wordpress.com/2009/02/21/im ... щений-icq/
http://www.lissyara.su/?id=1832

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-06 17:03:45
hizel
1. редирект может делать не только pf
2. асько может работать на любом порту
:pardon:

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-06 17:11:55
zar0ku1
hizel писал(а):1. редирект может делать не только pf
2. асько может работать на любом порту
:pardon:
1) эта софтинка работает только с pf
ему нужен /dev/pf
2) еще она и трафик шифрует, но кто это в жизни видел? тем более когда открыты на шлюзе 25,53,80,110,5190?

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-06 19:07:23
hizel
1.

Код: Выделить всё

#if LINUX_NETFILTER
        if (getsockopt(fd, SOL_IP, SO_ORIGINAL_DST, &redirectsockaddr, &redirectsockaddrlen) < 0)
        {
                syslog(LOG_ERR, "Redirect address, getsockopt() failed");
                return "";
        }
        else
                return sockaddrtostring((struct mysockaddr *) &redirectsockaddr);               
}
#elif IPFW_TRANSPARENT
        if (getsockname(fd, (struct sockaddr *) &redirectsockaddr, (socklen_t *) &redirectsockaddrlen) < 0)
        {
                syslog(LOG_ERR, "Redirect address, getsockname() failed");
                return "";
        }
        else
                return sockaddrtostring((struct mysockaddr *) &redirectsockaddr);               
}
#elif PF_TRANSPARENT
        struct sockaddr_in clientsockaddr;
        socklen_t clientsockaddrlen = sizeof(struct sockaddr_in);
        
        if (getpeername(fd, (struct sockaddr*) &clientsockaddr, &clientsockaddrlen) < 0)
        {
                syslog(LOG_ERR, "Redirect address, getpeername() failed");
                return "";
        }
сюрприз правда? :roll:

2. если трафик нормально шифруется, то никто не сможет его расшифровать ;]

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-06 23:37:59
zar0ku1
1) вообще не сюрприз =) это добавили в версии 0.9, если соберете для нее тарботл - низкий поклон, я не умею :oops:
2) согласен, но какое это отношение имеет к статье? :roll:

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-10 23:32:06
server801
поставил-403 оишбка и фсе тут......не работает скрипт .уже с правами наигрался. :pardon:
В папке /var/log/imspector должен создаться каталог ICQ-AIM с подкаталогами UIN’ами пользователей.
не создается......

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-11 0:38:05
zar0ku1
server801 писал(а):поставил-403 оишбка и фсе тут......не работает скрипт .уже с правами наигрался. :pardon:
В папке /var/log/imspector должен создаться каталог ICQ-AIM с подкаталогами UIN’ами пользователей.
не создается......
точно все по порядку сделал?

покажи
sockstat | grep imspector
покажи конфиг, покажи правила pf

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-11 8:12:02
server801
слово в слово

Код: Выделить всё

 sockstat | grep imspector
root     imspector  9150  3  dgram  -> /var/run/logpriv
root     imspector  9150  4  stream /tmp/.imspectorlog
root     imspector  9149  3  dgram  -> /var/run/logpriv
root     imspector  9149  4  stream /tmp/.imspectoricqcookie
root     imspector  9148  3  dgram  -> /var/run/logpriv
root     imspector  9148  4  stream /tmp/.imspectorlog
root     imspector  9148  5  tcp4   *:16667               *:*

Код: Выделить всё

 pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
rdr on em0 inet proto tcp from any to any port = aol -> 127.0.0.1 port 16667

Код: Выделить всё

 cat /usr/local/etc/imspector/imspector.conf
# The listening port for redirected connections
#port=16667
# The HTTP CONNECT proxy port
#http_port=18080

# This is the default location of protocol and logging plugins.
#plugin_dir=/usr/local/lib/imspector

# For dropping privs - you probably want to do this.
#user=imspector
#group=imspector

# SSL support?
#ssl=on
#ssl_key=/usr/local/etc/imspector/serverkey.pem

# Fixed cert?
#ssl_cert=/usr/local/etc/imspector/servercert.pem

# Or certs created on-the-fly and signed against a CA
#ssl_ca_key=/usr/local/etc/imspector/cakey.pem
#ssl_ca_cert=/usr/local/etc/imspector/cacert.pem
# And finally a directory to store the created certs
#ssl_cert_dir=/var/lib/imspector

# Directory of CA certs for IM server cert validation
#ssl_verify_dir=/usr/local/lib/ssl/certs
# Drop connection when the IM server has a bad cert
#ssl_verify=block

# Prefix and postfix to all responses using all responder plugins
#response_prefix=Message from IMSpector: -=
#response_postfix==-

# SQLite DB filename for automated responses
#responder_filename=/path/to/file
# Inform parties that chats are monitored every N days (default is never)
#notice_days=7
# Customised notice text
#notice_response=Your activities are being logged
# Inform of a blocked event, but upto a max of every N mins (default is never)
#filtered_mins=15
# Customised filtered text (message text or filename follows in response)
#filtered_response=The message or action was blocked

# Will load enabled plugins in plugin_dir
icq_protocol=on
irc_protocol=on
msn_protocol=on
yahoo_protocol=on
gg_protocol=on
jabber_protocol=on
# MSN via HTTP proxy needs https
#https_protocol=on

# Log typing events?
#log_typing_events=on

# Location where the file logging plugin will start from.
file_logging_dir=/var/log/imspector

# MySQL logging plugin stuff
#mysql_server=localhost
#mysql_database=imspector
#mysql_username=imspector
#mysql_password=password

# For SQLite
#sqlite_file=/path/to/file

# Bad words filtering
#badwords_filename=/usr/local/etc/imspector/badwords.txt
#badwords_replace_character=*
#badwords_block_count=1

# ACL
#acl_filename=/usr/local/etc/imspector/acl.txt

# SQLite-backed filter
#db_filter_filename=/path/to/file

# Block all filetransfers?
#block_files=on

# Block webcams?
#block_webcams=on
port=16667
plugin_dir=/usr/local/lib/imspector
а покажите мне

Код: Выделить всё

ls /usr/local/www/imspector/

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-10-11 9:05:00
zar0ku1
выключите imspector и попробуйте подключить icq - если подключается, значит неправильно прописано правило pf

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 9:46:05
Nick
подскажите плиз... у меня freeBSD 8, один интерфейс rl0, включил pf и imspector. написал конфиги как написано в статье, но не работает... imspector -d пишет

Код: Выделить всё

imspector: Connection from: 192.168.5.152:3538
imspector: Redirect address, PF lookup failed
imspector: Don't know how to handle connection to
imspector: Finished with child: 192.168.5.152:3538

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 11:49:08
zar0ku1
Nick писал(а):подскажите плиз... у меня freeBSD 8, один интерфейс rl0, включил pf и imspector. написал конфиги как написано в статье, но не работает... imspector -d пишет

Код: Выделить всё

imspector: Connection from: 192.168.5.152:3538
imspector: Redirect address, PF lookup failed
imspector: Don't know how to handle connection to
imspector: Finished with child: 192.168.5.152:3538
покажи pfctl -sn

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 12:06:00
Гость
zar0ku1 писал(а):
Nick писал(а):подскажите плиз... у меня freeBSD 8, один интерфейс rl0, включил pf и imspector. написал конфиги как написано в статье, но не работает... imspector -d пишет

Код: Выделить всё

imspector: Connection from: 192.168.5.152:3538
imspector: Redirect address, PF lookup failed
imspector: Don't know how to handle connection to
imspector: Finished with child: 192.168.5.152:3538
покажи pfctl -sn
# pfctl -sn
No ALTQ support in kernel
ALTQ related functions disabled
rdr on rl0 inet proto tcp from any to any port = aol -> 127.0.0.1 port 16667

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 12:42:20
zar0ku1
странно, у меня такое писал, когда pf был выключен, попробуйте его перезапустить, а потом imspector
imspector: Redirect address, PF lookup failed

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 13:44:46
Nick
zar0ku1 писал(а):странно, у меня такое писал, когда pf был выключен, попробуйте его перезапустить, а потом imspector
imspector: Redirect address, PF lookup failed
как можно проверить что pf действительно редиректит?

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 14:17:27
zar0ku1
Nick писал(а):
zar0ku1 писал(а):странно, у меня такое писал, когда pf был выключен, попробуйте его перезапустить, а потом imspector
imspector: Redirect address, PF lookup failed
как можно проверить что pf действительно редиректит?
выруби imspector и попробуй подключить icq, если вылетит с ошибкой, значит редиректит, а ничего не принимает его редирект

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 14:54:03
Гость
zar0ku1 писал(а):
Nick писал(а):
zar0ku1 писал(а):странно, у меня такое писал, когда pf был выключен, попробуйте его перезапустить, а потом imspector
imspector: Redirect address, PF lookup failed
как можно проверить что pf действительно редиректит?
выруби imspector и попробуй подключить icq, если вылетит с ошибкой, значит редиректит, а ничего не принимает его редирект
отключил imspector , написал что

Код: Выделить всё

"Связь прервана. Проверьте настройки подключения."
Стоит Qip, настраиваю так, Сервер авторизаци login.icq.com 443, и настройки прокси ip порт 16667

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 14:58:08
zar0ku1
Гость писал(а):Стоит Qip, настраиваю так, Сервер авторизаци login.icq.com 443, и настройки прокси ip порт 16667
прокси то тут зачем? это все делается "прозрачно", тихо и незаметно

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-12 17:36:39
Гость
zar0ku1 писал(а):
Гость писал(а):Стоит Qip, настраиваю так, Сервер авторизаци login.icq.com 443, и настройки прокси ip порт 16667
прокси то тут зачем? это все делается "прозрачно", тихо и незаметно
посмотрел какая версия imspector-0.5.... файлик imspector.cgi пришлось взять с 8 версии.
Убрал настройки прокси, сам клиент запустился! Вот подскажите, есть директория /var/log/imspector но в ней ничего не создается.... попробовал поставить 8 или 9 версию потребовал MySQL, без него может работать ?

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-13 0:55:41
zar0ku1
Гость писал(а):посмотрел какая версия imspector-0.5.... файлик imspector.cgi пришлось взять с 8 версии.
Убрал настройки прокси, сам клиент запустился! Вот подскажите, есть директория /var/log/imspector но в ней ничего не создается.... попробовал поставить 8 или 9 версию потребовал MySQL, без него может работать ?
Да конечно, база данных это опция

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-16 17:27:12
Nick
подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое

Код: Выделить всё

# pkg_add -r http://pub.shukan.ru/imspector-0.8.tbz
Fetching http://pub.shukan.ru/imspector-0.8.tbz... Done.
pkg_add: warning: package 'imspector-0.8' requires 'sqlite3-3.6.10', but 'sqlite3-3.6.19' is installed
pkg_add: warning: package 'imspector-0.8' requires 'mysql-client-5.0.77', but 'mysql-client-5.0.87' is installed
получается что проги стоят но версии по новее и imspector не хочет их принимать?

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-16 17:36:45
Гость
подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое

Код: Выделить всё

# pkg_add -r http://pub.shukan.ru/imspector-0.8.tbz
Fetching http://pub.shukan.ru/imspector-0.8.tbz... Done.
pkg_add: warning: package 'imspector-0.8' requires 'sqlite3-3.6.10', but 'sqlite3-3.6.19' is installed
pkg_add: warning: package 'imspector-0.8' requires 'mysql-client-5.0.77', but 'mysql-client-5.0.87' is installed
получается что проги стоят но версии по новее и imspector не хочет их принимать?
еще скажите, на FreeBSD какие нужно установить пакеты чтобы получилось поставить этот imspector

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-17 1:32:41
zar0ku1
Гость писал(а):подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое
получается что проги стоят но версии по новее и imspector не хочет их принимать?
еще скажите, на FreeBSD какие нужно установить пакеты чтобы получилось поставить этот imspector
Да, но ничего в этом страшного нет, он должен был установиться

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-17 9:58:49
Гость
zar0ku1 писал(а):
Гость писал(а):подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое
получается что проги стоят но версии по новее и imspector не хочет их принимать?
еще скажите, на FreeBSD какие нужно установить пакеты чтобы получилось поставить этот imspector
Да, но ничего в этом страшного нет, он должен был установиться
Схема подключения вот какая ... может быть с настройку клиента делаю не верно, как уже не делал, и как прокси и по всякому... как правильно настроить?

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-17 13:05:37
dmins
Гость писал(а):
zar0ku1 писал(а):
Гость писал(а):подскажите... стоит FreeeBSD 8, делаю все как написано в посте, пишет вот такое
получается что проги стоят но версии по новее и imspector не хочет их принимать?
еще скажите, на FreeBSD какие нужно установить пакеты чтобы получилось поставить этот imspector
Да, но ничего в этом страшного нет, он должен был установиться
Схема подключения вот какая ... может быть с настройку клиента делаю не верно, как уже не делал, и как прокси и по всякому... как правильно настроить?
Читай 1 пост вниматильнее. Там сказанно, что установка "Imspector" происходит на ШЛЮЗЕ (тоесть через него проходит весь траф) , а на твоей схеме получается ты ставишь под IMspector 2ой сервак. Естественно , юзвери то твои общаются через ШЛЮЗ(gateway) вот на него и ставь imspector. =)

Re: Статья: Мониторинг ICQ-переписки с помощью IMspector

Добавлено: 2009-11-18 11:34:22
Гость
Спасибо всем за ответы! Столкнулся с траблой что текст примерно вот в таком виде, 1,0,?@825B , с Miranda пробовал все оки а вот уже с QIP каракули, эири вопрос разрешим или это тупик? :st:
Часовой пояс: UTC+03:00
Страница 1 из 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/